Dasjenige Bundesamt pro Sicherheit in jener Informationstechnik (BSI) hat am 03.06.2024 ein Update zu einer am 02.11.2017 bekanntgewordenen Sicherheitslücke pro OpenSSL veröffentlicht. Betroffen von jener Sicherheitslücke sind die Betriebssysteme Linux, NetApp Appliance, UNIX und Windows sowie die Produkte Debian Linux, FreeBSD Project FreeBSD OS, Machandel JUNOS, Red Hat Enterprise Linux, NetApp Data ONTAP, Ubuntu Linux, SUSE Linux, Oracle Linux, NetApp OnCommand Unified Manager, Hitachi Command Suite, Open Source OpenSSL, Dell NetWorker und SolarWinds Platform.

Die neuesten Hersteller-Empfehlungen in puncto Updates, Workarounds und Sicherheitspatches pro welche Sicherheitslücke finden Sie hier: SolarWinds Platform 2024.2 release notes (Stand: 04.06.2024). Weitere nützliche Quellen werden weiter unten in diesem Kautel aufgeführt.

Sicherheitshinweis pro OpenSSL – Risiko: mittel

Risikostufe: 5 (mittel)
CVSS Kusine Score: 5,9
CVSS Zeitlich Score: 5,2
Remoteangriff: Nein

Zur Priorisierung jener Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinauf Grund verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen pro verdongeln Übergriff (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von jener Gefahrenlage. Dieser Schweregrad jener aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 5,9 qua „mittel“ eingestuft.

OpenSSL Softwarefehler: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen

OpenSSL ist eine im Quelltext ungehindert verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Vorschub Layer Security (TLS) implementiert.

Ein lokaler Angreifer kann eine Schwachstelle in OpenSSL ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Klassifiziert wurde die Schwachstelle mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2017-3736.

Von jener OpenSSL-Sicherheitslücke betroffene Systeme im Zusammenfassung

Betriebssysteme
Linux, NetApp Appliance, UNIX, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
FreeBSD Project FreeBSD OS (cpe:/o:freebsd:freebsd)
Machandel JUNOS (cpe:/o:juniper:junos)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
NetApp Data ONTAP (cpe:/a:netapp:data_ontap)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
NetApp OnCommand Unified Manager (cpe:/a:netapp:oncommand_unified_manager)
Hitachi Command Suite (cpe:/a:hitachi:command_suite)
Open Source OpenSSL <1.1.0g (cpe:/a:openssl:openssl)
Open Source OpenSSL <1.0.2m (cpe:/a:openssl:openssl)
Dell NetWorker <19.10 (cpe:/a:dell:networker)
SolarWinds Platform <2024.2 (cpe:/a:solarwinds:orion_platform)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Computer-Nutzer jener betroffenen Systeme sollten welche hinauf dem aktuellsten Stand halten. Hersteller sind im Rahmen Bekanntwerden von Sicherheitslücken dazu angehalten, welche schnellstmöglich durch Weiterentwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie welche zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Phase aufgeführten Quellen. X-mal enthalten welche weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich im Rahmen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen übrig Softwarefehler-Reports, Security-Fixes und Workarounds.

SolarWinds Platform 2024.2 release notes vom 2024-06-04 (03.06.2024)
Weitere Informationen finden Sie unter: https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/solarwinds_platform_2024-2_release_notes.htm

Dell Knowledge Kusine Article (25.01.2024)
Weitere Informationen finden Sie unter: https://www.dell.com/support/kbdoc/en-us/000221474/dsa-2024-059-security-update-for-dell-networker-multiple-components-vulnerabilities

Oracle Linux Security Advisory ELSA-2019-4581 vom 2019-03-13 (13.03.2019)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2019-4581.html

SUSE Security Update SUSE-SU-2018:2839-1 vom 2018-09-24 (24.09.2018)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2018/suse-su-20182839-1.html

Red Hat Security Advisory RHSA-2018:2568 vom 2018-08-27 (27.08.2018)
Weitere Informationen finden Sie unter: http://rhn.redhat.com/errata/RHSA-2018-2568.html

Hitachi Security Information hitachi-sec-2018-124 (07.08.2018)
Weitere Informationen finden Sie unter: http://www.hitachi.co.jp/Prod/comp/soft1/weltumspannend/security/info/vuls/hitachi-sec-2018-124/index.html

Red Hat Security Advisory RHSA-2018:2185 vom 2018-07-13 (12.07.2018)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2018:2185

Oracle Linux Security Advisory ELSA-2018-4077 vom 2018-04-19 (18.04.2018)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2018-4077.html

Machandel Security Advisory JSA10851 vom 2018-04-12 (12.04.2018)
Weitere Informationen finden Sie unter: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10851

SUSE Security Update SUSE-SU-2018:0293-1 vom 2018-01-30 (30.01.2018)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2018/suse-su-20180293-1.html

SUSE Security Update SUSE-SU-2018:0002-1 vom 2018-01-02 (02.01.2018)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2018/suse-su-20180002-1.html

McAfee Security Bulletin: SB10220 (21.12.2017)
Weitere Informationen finden Sie unter: https://kc.mcafee.com/corporate/index?page=content&id=SB10220

F5 Security Advisory K14363514 vom 2017-12-15 (17.12.2017)
Weitere Informationen finden Sie unter: https://support.f5.com/csp/article/K14363514

SUSE Security Update SUSE-SU-2017:3343-1 vom 2017-12-16 (17.12.2017)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2017/suse-su-20173343-1.html

Tenable Security Advisory ID: TNS-2017-15 (07.12.2017)
Weitere Informationen finden Sie unter: https://www.tenable.com/security/tns-2017-15

SUSE Security Update SUSE-SU-2017:3169-1 vom 2017-12-01 (30.11.2017)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2017/suse-su-20173169-1.html

FreeBSD Security Advisory FREEBSD-SA-17:11.OPENSSL vom 2017-11-29 (28.11.2017)
Weitere Informationen finden Sie unter: https://security.FreeBSD.org/advisories/FreeBSD-SA-17:11.openssl.asc

NetAPP Security Advisory NTAP-20171107-0002 vom 2017-11-08 (08.11.2017)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20171107-0002/

Ubuntu Security Notice USN-3475-1 vom 2017-11-06 (06.11.2017)
Weitere Informationen finden Sie unter: http://www.ubuntu.com/usn/usn-3475-1/

Debian Security Advisory DSA-4017 vom 2017-11-04 (05.11.2017)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2017/dsa-4017

Debian Security Advisory DSA-4018 vom 2017-11-04 (05.11.2017)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2017/dsa-4018

OpenSSL Security Advisory vom 2017-11-02 (02.11.2017)
Weitere Informationen finden Sie unter: https://www.openssl.org/news/secadv/20171102.txt

Versionshistorie dieser Sicherheitswarnung

Dies ist die 28. Version des vorliegenden IT-Sicherheitshinweises pro OpenSSL. Für Publikation weiterer Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

02.11.2017 – Initial Release
02.11.2017 – Version nicht vorhanden
05.11.2017 – New remediations available
06.11.2017 – New remediations available
06.11.2017 – Version nicht vorhanden
13.11.2017 – Added references
13.11.2017 – Version nicht vorhanden
14.11.2017 – Added references
30.11.2017 – New remediations available
07.12.2017 – New remediations available
14.12.2017 – Added references
21.12.2017 – New remediations available
02.01.2018 – New remediations available
02.01.2018 – Version nicht vorhanden
30.01.2018 – New remediations available
12.04.2018 – New remediations available
12.04.2018 – Version nicht vorhanden
18.04.2018 – New remediations available
12.07.2018 – New remediations available
07.08.2018 – New remediations available
07.08.2018 – Version nicht vorhanden
07.08.2018 – Version nicht vorhanden
07.08.2018 – Version nicht vorhanden
27.08.2018 – New remediations available
24.09.2018 – New remediations available
13.03.2019 – Neue Updates von Oracle Linux aufgenommen
25.01.2024 – Neue Updates von Dell aufgenommen
03.06.2024 – Neue Updates aufgenommen

+++ Redaktioneller Index: Dieser Text wurde hinauf Grund aktueller BSI-Statistik generiert und wird je nachdem Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachgehen Sie News.de schon im Rahmen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiter zur Redaktion.
kns/roj/news.de