Dies Bundesamt zum Besten von Sicherheit in jener Informationstechnik (BSI) hat am 08.02.2023 vereinigen Sicherheitshinweis zum Besten von OpenSSL gemeldet. Die Software enthält mehrere Schwachstellen, die vereinigen Sturm geben. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Amazon Linux 2, Ubuntu Linux, SUSE Linux, Aruba Switch, Aruba ClearPass Policy Manager und Open Source OpenSSL. Zuletzt wurde selbige Warnung am 09.02.2023 aktualisiert.

Die neuesten Hersteller-Empfehlungen wegen Updates, Workarounds und Sicherheitspatches zum Besten von selbige Sicherheitslücke finden Sie hier: Amazon Linux Security Advisory ALAS2-2023-1935 (Stand: 08.02.2023). Weitere nützliche Sinister werden weiter unten in diesem Kautel aufgeführt.

Mehrere Schwachstellen zum Besten von OpenSSL gemeldet – Risiko: mittel

Risikostufe: 5 (mittel)
CVSS Kusine Score: 7,4
CVSS Zeitlich Score: 6,4
Remoteangriff: Ja

Zur Ordnung jener Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Lager verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen zum Besten von vereinigen Sturm (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von jener Gefahrenlage. Die Gefährdung jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 7,4 denn „mittel“ eingestuft.

OpenSSL Softwarefehler: Erklärung des Angriffs

OpenSSL ist eine im Quelltext ungebunden verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Vorschub Layer Security (TLS) implementiert.

Ein entfernter, authentisierter oder anonymer Angreifer kann mehrere Schwachstellen in OpenSSL ausnutzen, um vereinigen Denial of Tafelgeschirr Sturm durchzuführen, Informationen offenzulegen oder Chiffretext zusätzlich ein Netzwerk wiederherzustellen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-0401, CVE-2023-0286, CVE-2023-0217, CVE-2023-0216, CVE-2023-0215, CVE-2022-4450, CVE-2022-4304 und CVE-2022-4203.

Von jener OpenSSL-Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux, Windows

Produkte
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Aruba Switch (cpe:/h:arubanetworks:switch)
Aruba ClearPass Policy Manager (cpe:/a:arubanetworks:clearpass_policy_manager)
Open Source OpenSSL < 3.0.8 (cpe:/a:openssl:openssl)
Open Source OpenSSL < 1.1.1t (cpe:/a:openssl:openssl)
Open Source OpenSSL < 1.0.2zg (cpe:/a:openssl:openssl)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. User jener betroffenen Systeme sollten selbige uff dem aktuellsten Stand halten. Hersteller sind für Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Erfindung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie selbige zeitnah.

2. Um Rat fragen Sie zu Informationszwecken die im nächsten Fragment aufgeführten Quellen. Vielerorts enthalten selbige weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich für weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen zusätzlich Softwarefehler-Reports, Security-Fixes und Workarounds.

Amazon Linux Security Advisory ALAS2-2023-1935 vom 2023-02-08 (09.02.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2023-1935.html

Amazon Linux Security Advisory ALAS-2023-1683 vom 2023-02-08 (09.02.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2023-1683.html

Aruba Product Security Advisory (09.02.2023)
Weitere Informationen finden Sie unter: https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-001.txt

Amazon Linux Security Advisory ALAS2-2023-1934 vom 2023-02-08 (09.02.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2023-1934.html

OpenSSL Security Advisory vom 2023-02-07 (08.02.2023)
Weitere Informationen finden Sie unter: https://www.openssl.org/news/secadv/20230207.txt

Versionshistorie dieser Sicherheitswarnung

Dies ist die 2. Version des vorliegenden IT-Sicherheitshinweises zum Besten von OpenSSL. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

08.02.2023 – Initiale Halterung
09.02.2023 – Neue Updates von Amazon und Aruba aufgenommen

+++ Redaktioneller Kennziffer: Dieser Text wurde uff Lager aktueller BSI-Fakten KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon für Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de