Dasjenige Bundesamt zu Gunsten von Sicherheit in dieser Informationstechnik (BSI) hat am 08.12.2023 ein Update zu einer am 22.04.2020 bekanntgewordenen Sicherheitslücke zu Gunsten von OpenSSL hrsg.. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX und Linux sowie die Produkte Debian Linux, FreeBSD Project FreeBSD OS, SUSE Linux, Oracle Linux, Open Source Arch Linux, Open Source OpenSSL, Tenable Security Nessus und Tenable Security Nessus Network Monitor.

Die neuesten Hersteller-Empfehlungen in puncto Updates, Workarounds und Sicherheitspatches zu Gunsten von welche Sicherheitslücke finden Sie hier: Oracle Linux Security Advisory ELSA-2023-13024 (Stand: 07.12.2023). Weitere nützliche Quellen werden weiter unten in diesem Ware aufgeführt.

Sicherheitshinweis zu Gunsten von OpenSSL – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 7,5
CVSS Zeitlich Score: 6,7
Remoteangriff: Ja

Zur Ordnung dieser Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Stützpunkt verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Pro die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Jener Kusine Score bewertet die Voraussetzungen zu Gunsten von kombinieren Übergriff (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen oben die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Jener Schweregrad dieser aktuellen Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 7,5 qua „mittel“ eingestuft.

OpenSSL Softwarefehler: Schwachstelle ermöglicht Denial of Tafelgeschirr

OpenSSL ist eine im Quelltext ungehindert verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Zuführung Layer Security (TLS) implementiert.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in OpenSSL ausnutzen, um kombinieren Denial of Tafelgeschirr Übergriff durchzuführen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2020-1967.

Von dieser OpenSSL-Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
FreeBSD Project FreeBSD OS (cpe:/o:freebsd:freebsd)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Open Source Arch Linux (cpe:/o:archlinux:archlinux)
Open Source OpenSSL < 1.1.1g (cpe:/a:openssl:openssl)
Tenable Security Nessus (cpe:/a:tenable:nessus)
Tenable Security Nessus Network Monitor (cpe:/a:tenable:nessus_network_monitor)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

1. Benutzer dieser betroffenen Anwendungen sollten welche gen dem aktuellsten Stand halten. Hersteller sind unter Bekanntwerden von Sicherheitslücken dazu angehalten, welche schnellstmöglich durch Entwicklungsverlauf eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie welche zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Ausschnitt aufgeführten Quellen. X-fach enthalten welche weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich unter weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen oben Softwarefehler-Reports, Security-Fixes und Workarounds.

Oracle Linux Security Advisory ELSA-2023-13024 vom 2023-12-07 (08.12.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-13024.html

Oracle Linux Security Advisory ELSA-2023-13026 vom 2023-12-07 (08.12.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-13026.html

Oracle Linux Security Advisory ELSA-2023-32791 vom 2023-12-07 (08.12.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-32791.html

Oracle Linux Security Advisory ELSA-2023-32790 vom 2023-12-07 (08.12.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-32790.html

Oracle Linux Security Advisory ELSA-2023-13027 vom 2023-12-07 (08.12.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-13027.html

Oracle Linux Security Advisory ELSA-2023-13025 vom 2023-12-07 (08.12.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-13025.html

Tenable Security Advisory (03.02.2021)
Weitere Informationen finden Sie unter: https://de.tenable.com/security/tns-2020-12

Tenable Security Advisory (03.02.2021)
Weitere Informationen finden Sie unter: https://de.tenable.com/security/tns-2020-13

SUSE Security Update SUSE-SU-2020:2041-1 vom 2020-07-24 (27.07.2020)
Weitere Informationen finden Sie unter: http://lists.suse.com/pipermail/sle-security-updates/2020-July/007183.html

Tenable Security Advisory (03.06.2020)
Weitere Informationen finden Sie unter: https://de.tenable.com/security/tns-2020-04

securityaffairs.co vom 2020-05-05 (06.05.2020)
Weitere Informationen finden Sie unter: https://securityaffairs.co/wordpress/102763/hacking/cve-2020-1967-dos-openssl-exploit.html

Tenable Security Advisory (29.04.2020)
Weitere Informationen finden Sie unter: https://de.tenable.com/security/tns-2020-03

Arch Linux Security Advisory ASA-202004-19 vom 2020-04-24 (24.04.2020)
Weitere Informationen finden Sie unter: https://security.archlinux.org/ASA-202004-19

Microsoft Leitfaden zu Gunsten von Sicherheitsupdates ADV200007 vom 2020-04-21 (22.04.2020)
Weitere Informationen finden Sie unter: https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV200007

SUSE Security Update SUSE-SU-2020:1058-1 vom 2020-04-21 (22.04.2020)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2020/suse-su-20201058-1.html

FreeBSD Security Advisory FreeBSD-SA-20:11.openssl vom 2020-04-21 (22.04.2020)
Weitere Informationen finden Sie unter: https://security.freebsd.org/advisories/FreeBSD-SA-20:11.openssl.asc

Debian Security Advisory DSA-4661-1 vom 2020-04-21 (22.04.2020)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2020/dsa-4661

Arch Linux Security Advisory ASA-202004-18 vom 2020-04-21 (22.04.2020)
Weitere Informationen finden Sie unter: https://security.archlinux.org/ASA-202004-18/generate

OpenSSL Security Advisory 20200421 vom 2020-04-21 (22.04.2020)
Weitere Informationen finden Sie unter: https://www.openssl.org/news/secadv/20200421.txt

Versionshistorie dieser Sicherheitswarnung

Dies ist die 8. Version des vorliegenden IT-Sicherheitshinweises zu Gunsten von OpenSSL. Im Rahmen Publikation weiterer Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

22.04.2020 – Initiale Steckdose
24.04.2020 – Neue Updates von Arch Linux aufgenommen
29.04.2020 – Neue Updates von Tenable aufgenommen
06.05.2020 – Exploit aufgenommen
03.06.2020 – Neue Updates von Tenable aufgenommen
27.07.2020 – Neue Updates von SUSE aufgenommen
03.02.2021 – Neue Updates von Tenable aufgenommen
08.12.2023 – Neue Updates von Oracle Linux aufgenommen

+++ Redaktioneller Tabelle: Dieser Text wurde gen Stützpunkt aktueller BSI-Wissen KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachstellen Sie News.de schon unter Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.

Bearbeitet durch kns
roj/news.de