Dasjenige Bundesamt zu Händen Sicherheit in dieser Informationstechnik (BSI) hat am 29.04.2024 ein Update zu einer am 23.01.2024 bekanntgewordenen Sicherheitslücke zu Händen OpenSSL hrsg.. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme Linux, MacOS X, UNIX und Windows sowie die Produkte Open Source OpenSSL, Amazon Linux 2, Red Hat Enterprise Linux, Ubuntu Linux, SUSE Linux, Siemens SIMATIC S7, NetApp ActiveIQ Unified Manager, NetApp Data ONTAP, tribe29 checkmk, Meinberg LANTIME, Splunk Splunk Enterprise und IBM MQ.

Die neuesten Hersteller-Empfehlungen in Hinblick auf Updates, Workarounds und Sicherheitspatches zu Händen welche Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2024:2447 (Stand: 30.04.2024). Weitere nützliche Sinister werden weiter unten in diesem Kautel aufgeführt.

Sicherheitshinweis zu Händen OpenSSL – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 7,5
CVSS Zeitlich Score: 6,5
Remoteangriff: Ja

Zur Ordnung dieser Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Sockel verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Z. Hd. die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Welcher Kusine Score bewertet die Voraussetzungen zu Händen verknüpfen Offensive (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen zusätzlich die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Welcher Schweregrad dieser hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 7,5 denn „mittel“ eingestuft.

OpenSSL Programmierfehler: Schwachstelle ermöglicht Denial of Tafelgeschirr

OpenSSL ist eine im Quelltext uneingeschränkt verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Zuführung Layer Security (TLS) implementiert.

Ein Angreifer kann eine Schwachstelle in OpenSSL ausnutzen, um verknüpfen Denial of Tafelgeschirr Offensive durchzuführen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2024-0727.

Von dieser OpenSSL-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
Linux, MacOS X, UNIX, Windows

Produkte
Open Source OpenSSL <3.0.13 (cpe:/a:openssl:openssl)
Open Source OpenSSL <3.1.5 (cpe:/a:openssl:openssl)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Siemens SIMATIC S7 1500 (cpe:/h:siemens:simatic_s7)
NetApp ActiveIQ Unified Manager (cpe:/a:netapp:active_iq_unified_manager)
NetApp Data ONTAP (cpe:/a:netapp:data_ontap)
Open Source OpenSSL <3.2.1 (cpe:/a:openssl:openssl)
Open Source OpenSSL (cpe:/a:openssl:openssl)
Checkmk Checkmk <2.2.0p24 (cpe:/a:tribe29:checkmk)
Meinberg LANTIME <7.08.009 (cpe:/h:meinberg:lantime)
Splunk Splunk Enterprise <9.2.1 (cpe:/a:splunk:splunk)
Splunk Splunk Enterprise <9.1.4 (cpe:/a:splunk:splunk)
Splunk Splunk Enterprise <9.0.9 (cpe:/a:splunk:splunk)
IBM MQ <9.3.5.1 (cpe:/a:ibm:mq)
IBM MQ <9.0.0.24 (cpe:/a:ibm:mq)
IBM MQ <9.1.0.21 (cpe:/a:ibm:mq)
IBM MQ <9.2.0.25 (cpe:/a:ibm:mq)
IBM MQ <9.3.0.17 (cpe:/a:ibm:mq)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

1. User dieser betroffenen Anwendungen sollten welche uff dem aktuellsten Stand halten. Hersteller sind zwischen Bekanntwerden von Sicherheitslücken dazu angehalten, welche schnellstmöglich durch Entwicklungsverlauf eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie welche zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Stück aufgeführten Quellen. Oftmals enthalten welche weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich zwischen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dies herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen zusätzlich Programmierfehler-Reports, Security-Fixes und Workarounds.

Red Hat Security Advisory RHSA-2024:2447 vom 2024-04-30 (29.04.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:2447

IBM Security Bulletin 7149484 vom 2024-04-29 (28.04.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7149484

IBM Security Bulletin 7149584 vom 2024-04-26 (28.04.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7149584

Siemens Security Advisory SSA-265688 vom 2024-04-09 (08.04.2024)
Weitere Informationen finden Sie unter: https://cert-portal.siemens.com/productcert/html/ssa-265688.html

Splunk Security Advisory SVD-2024-0303 vom 2024-03-27 (27.03.2024)
Weitere Informationen finden Sie unter: https://advisory.splunk.com//advisories/SVD-2024-0303

Splunk Security Advisory SVD-2024-0304 vom 2024-03-27 (27.03.2024)
Weitere Informationen finden Sie unter: https://advisory.splunk.com//advisories/SVD-2024-0304

Ubuntu Security Notice USN-6709-1 vom 2024-03-21 (21.03.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-6709-1

Amazon Linux Security Advisory ALAS-2024-2502 vom 2024-03-19 (18.03.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2024-2502.html

SUSE Security Update SUSE-SU-2024:0840-1 vom 2024-03-12 (12.03.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-March/018145.html

SUSE Security Update SUSE-SU-2024:0841-1 vom 2024-03-12 (12.03.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-March/018144.html

SUSE Security Update SUSE-SU-2024:0842-1 vom 2024-03-12 (12.03.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-March/018143.html

SUSE Security Update SUSE-SU-2024:0831-1 vom 2024-03-11 (11.03.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-March/018141.html

SUSE Security Update SUSE-SU-2024:0832-1 vom 2024-03-11 (11.03.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-March/018140.html

SUSE Security Update SUSE-SU-2024:0833-1 vom 2024-03-11 (11.03.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-March/018139.html

SUSE Security Update SUSE-SU-2024:0814-1 vom 2024-03-08 (10.03.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-March/018132.html

SUSE Security Update SUSE-SU-2024:0813-1 vom 2024-03-08 (10.03.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-March/018130.html

SUSE Security Update SUSE-SU-2024:0815-1 vom 2024-03-08 (10.03.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-March/018129.html

Amazon Linux Security Advisory ALASOPENSSL-SNAPSAFE-2024-005 vom 2024-03-06 (05.03.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALASOPENSSL-SNAPSAFE-2024-005.html

Amazon Linux Security Advisory ALAS-2024-2479 vom 2024-03-05 (04.03.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2024-2479.html

Amazon Linux Security Advisory ALAS-2024-2478 vom 2024-03-05 (04.03.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2024-2478.html

CheckMK Werk 16362 vom 2024-03-01 (03.03.2024)
Weitere Informationen finden Sie unter: https://checkmk.com/werk/16362

Meinberg Security Advisory (27.02.2024)
Weitere Informationen finden Sie unter: https://www.meinberg.de/german/news/meinberg-security-advisory-mbgsa-2024-02-lantime-firmware-v7-08-009.htm

SUSE Security Update SUSE-SU-2024:0549-1 vom 2024-02-20 (20.02.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-February/017969.html

SUSE Security Update SUSE-SU-2024:0518-1 vom 2024-02-15 (15.02.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-February/017939.html

Ubuntu Security Notice USN-6632-1 vom 2024-02-13 (13.02.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-6632-1

NetApp Security Advisory NTAP-20240208-0006 vom 2024-02-08 (07.02.2024)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20240208-0006/

Ubuntu Security Notice USN-6622-1 vom 2024-02-05 (04.02.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-6622-1

OpenSSL Release Notes (01.02.2024)
Weitere Informationen finden Sie unter: https://www.openssl.org/news/openssl-3.1-notes.html

OpenSSL Release Notes (01.02.2024)
Weitere Informationen finden Sie unter: https://www.openssl.org/news/openssl-3.2-notes.html

OpenSSL Release Notes (01.02.2024)
Weitere Informationen finden Sie unter: https://www.openssl.org/news/openssl-3.0-notes.html

OpenSSL Github vom 2024-01-23 (23.01.2024)
Weitere Informationen finden Sie unter: https://github.com/openssl/openssl/pull/23362

Red Hat Bugzilla vom 2024-01-23 (23.01.2024)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2259944

Versionshistorie dieser Sicherheitswarnung

Dies ist die 20. Version des vorliegenden IT-Sicherheitshinweises zu Händen OpenSSL. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie unter Zuhilfenahme von dieser folgenden Versionshistorie reproduzieren.

23.01.2024 – Initiale Steckdose
01.02.2024 – Neue Updates aufgenommen
04.02.2024 – Neue Updates von Ubuntu aufgenommen
07.02.2024 – Neue Updates von NetApp aufgenommen
13.02.2024 – Neue Updates von Ubuntu aufgenommen
15.02.2024 – Neue Updates von SUSE aufgenommen
20.02.2024 – Neue Updates von SUSE aufgenommen
27.02.2024 – Neue Updates von Meinberg aufgenommen
03.03.2024 – Neue Updates von tribe29 aufgenommen
04.03.2024 – Neue Updates von Amazon aufgenommen
05.03.2024 – Neue Updates von Amazon aufgenommen
10.03.2024 – Neue Updates von SUSE aufgenommen
11.03.2024 – Neue Updates von SUSE aufgenommen
12.03.2024 – Neue Updates von SUSE aufgenommen
18.03.2024 – Neue Updates von Amazon aufgenommen
21.03.2024 – Neue Updates von Ubuntu aufgenommen
27.03.2024 – Neue Updates von Splunk-SVD aufgenommen
08.04.2024 – Neue Updates von Siemens aufgenommen
28.04.2024 – Neue Updates von IBM aufgenommen
29.04.2024 – Neue Updates von Red Hat aufgenommen

+++ Redaktioneller Verzeichnis: Dieser Text wurde uff Sockel aktueller BSI-Datenmaterial generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon zwischen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Litze zur Redaktion.
kns/roj/news.de