Zwei neue Schwachstellen bedrohen OpenSSL-Installationen
In der Open-Source-Verschlüsselungsbibliothek OpenSSL klaffen zwei mit dem Risikograd hoch eingestufte Sicherheitslücken. Betroffen sind die Versionen 3.0 und höher. Die Entwickler haben Patches zum Beheben der Schwachstellen veröffentlicht.
Die quelloffene Verschlüsselungsbibliothek OpenSSL könnte für Cyberangriffe missbraucht werden. Wie "Bleeping Computer" berichtet, wurden in der Library zwei Sicherheitslücken entdeckt. Diese werden mit dem Schweregrad hoch eingestuft, heisst es unter Berufung auf eine Mitteilung der Entwickler.
Demnach waren die Schwachstellen zunächst als kritisch bewertet und Systemadministratoren zum sofortigen Absichern aufgefordert worden. Trotz der Abstufung halten die Entwickler fest: "Wir betrachten diese Probleme nach wie vor als schwerwiegende Schwachstellen und empfehlen den betroffenen Benutzern, so bald wie möglich ein Upgrade durchzuführen."
Laut dem Blogbeitrag sind die Sicherheitslücken in den OpenSSL-Versionen 3.0 und höher enthalten. Mit 3.0.7 haben die Entwickler eine abgesicherte Version der Bibliothek veröffentlicht. Ihre Empfehlung an Systemadministratoren: Die Bibliothek sollte so rasch wie möglich aktualisiert werden. Ist OpenSSL Teil einer anderen Software oder eines Betriebssystems, sollte bei dessen Hersteller ein Upgrade angefordert werden. Bleeping Computer verweist zudem auf eine Liste des Niederländischen Cybersecurity-Zentrums.
Es enthält Informationen zur Verwundbarkeit zahlreicher Softwareprodukte, die OpenSSL enthalten. Kann eine OpenSSL-Bibliothek nicht aktualisiert werden, sollten Systemadministratoren die TLS-Client-Authentication deaktivieren, schreiben die Entwickler.
Die Schwachstellen haben die CVE-Nummern CVE-2022-3602 sowie CVE-2022-3786. Derzeit werden sie noch nicht aktiv für Angriffe missbraucht, heisst es im Blogbeitrag der Entwickler.
OpenSSL ist eine auf Open-Source-Software basierte Programmbibliothek für die Absicherung von Netzwerken. Sie kommt etwa häufig bei Internet-Servern zum Einsatz und implementiert dazu die Verschlüsselungsprotokolle SSL (Secure Sockets Layer) und TLS (Transport Layer Security).
Dass es wichtig ist, stets alle Sicherheitspatches einzuspielen, weis auch Alexander Hermann, Managing Partner bei Redguard. An der diesjährigen IFAS Expo 2022 schilderte er den Ablauf eines Cyberangriffs auf einen grosser Schweizer Detailhändler. Was genau passierte, und welche Sicherheitsmassnahmen der IT-Sicherheitsexperte empfiehlt, lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten,
Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Aus aktuellem Anlass: Eine Ode an den Heuschnupfen
Apple bringt M4-Chip und iPad Pro mit OLED-Display
E-Novinfo und Mémoire Vive bündeln ihre Kräfte in Freiburg
Neue Digitalchefin für Neuenburger Kantonalbank
OpenAI lanciert Tool zur Erkennung von DALL-E-generierten Bildern
Update: Also regelt Verantwortungsbereiche in der erweiterten Geschäftsleitung
Redalpine holt Schweizer Silicon-Valley-Pionier an Bord
Angreifer umgehen VPN und lesen Datenverkehr aus
AWS kündigt allgemeine Verfügbarkeit von Amazon Q an
