Technologie

#OpenSSL gefährdet: IT-Sicherheitswarnung vor neuem Programmfehler

„OpenSSL gefährdet: IT-Sicherheitswarnung vor neuem Programmfehler“

Zu Händen OpenSSL liegt eine aktuelle IT-Sicherheitswarnung vor. Um welche Schwachstelle es sich handelt, welche Produkte betroffen sind und welches Sie tun können, sachkundig Sie hier.

Dasjenige Bundesamt z. Hd. Sicherheit in dieser Informationstechnik (BSI) hat am 29.03.2023 vereinen Sicherheitshinweis z. Hd. OpenSSL gemeldet. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX, Linux, MacOS X und Windows sowie dasjenige Produkt Open Source OpenSSL.

Die neuesten Hersteller-Empfehlungen in Bezug auf Updates, Workarounds und Sicherheitspatches z. Hd. ebendiese Sicherheitslücke finden Sie hier: OpenSSL Security Advisory (Stand: 28.03.2023).

Sicherheitshinweis z. Hd. OpenSSL – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 6,5
CVSS Zeitlich Score: 5,7
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinaus Lager verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zu Händen die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen z. Hd. vereinen Übergriff (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen reichlich die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Die Gefährdung dieser hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 6,5 qua „mittel“ eingeschätzt.

OpenSSL Programmfehler: Mehrere Schwachstellen geben Umgehen von Sicherheitsvorkehrungen

OpenSSL ist eine im Quelltext uneingeschränkt verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Zuführung Layer Security (TLS) implementiert.

Ein Angreifer kann mehrere Schwachstellen in OpenSSL ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-0466 und CVE-2023-0465.

Von dieser OpenSSL-Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux, MacOS X, Windows

Produkte
Open Source OpenSSL 1.1.1 (cpe:/a:openssl:openssl)
Open Source OpenSSL 1.0.2 (cpe:/a:openssl:openssl)
Open Source OpenSSL 3.0 (cpe:/a:openssl:openssl)
Open Source OpenSSL 3.1 (cpe:/a:openssl:openssl)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

  1. Nutzer dieser betroffenen Anwendungen sollten ebendiese hinaus dem aktuellsten Stand halten. Hersteller sind c/o Bekanntwerden von Sicherheitslücken dazu angehalten, ebendiese schnellstmöglich durch Evolution eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie ebendiese zeitnah.

  2. Um Rat fragen Sie zu Informationszwecken die im nächsten Teil aufgeführten Quellen. Vielerorts enthalten ebendiese weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

  3. Wenden Sie sich c/o weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen reichlich Programmfehler-Reports, Security-Fixes und Workarounds.

OpenSSL Security Advisory vom 2023-03-28 (29.03.2023)
Weitere Informationen finden Sie unter: https://www.openssl.org/news/secadv/20230328.txt

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Steckdose des vorliegenden IT-Sicherheitshinweises z. Hd. OpenSSL. Sollten Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

29.03.2023 – Initiale Steckdose

+++ Redaktioneller Verzeichnis: Dieser Text wurde hinaus Lager aktueller BSI-Wissen KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachstellen Sie News.de schon c/o Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de

Quelle

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"