Am heutigen Dienstag, den 1. November wird das Entwicklerteam hinter der Open Source Library OpenSSL eine kritische Schwachstelle und den dazu gehörigen Patch veröffentlichen. Seit geraumer Zeit hat es das nicht mehr gegeben. Die Entwickler erklären, dass frühere Versionen nicht betroffen sind.
Während keine Details des bevorstehenden Patches oder der kritischen Schwachstelle, veröffentlicht wurden, gibt es nun einige Spekulationen, es könnte sich um eine mögliche DDoS-Schwachstelle handeln. OpenSSL 3.0.x wurde im Jahr 2021 veröffentlicht. Dieser Faktor wird hoffentlich das Ausmaß der Probleme, die am Dienstag bekannt gegeben werden, etwas einschränken, weil ältere Versionen nicht betroffen zu sein scheinen.
Ähnlich wie die im Dezember 2021 bekannt gewordene Log4j-Schwachstelle ist OpenSSL in vielen Betriebssystemen (Windows, macOS, verschiedene Linux-Distributionen usw.), clientseitigen Softwareanwendungen, Web- und E-Mail-Server-Software (Apache, nginx usw.), Netzwerkgeräten (Cisco, Fortinet, Juniper usw.) und sogar industriellen Steuerungssystemen enthalten.
Maßnahmen zur Behebung
OpenSSL bietet eine Command Line und eine schnelle Abfrage liefert die Ergebnisse der SSL-Bibliothek, die auf den Geräten läuft:
% openssl version
OpenSSL 3.0.5 5 Jul 2022 (Library: OpenSSL 3.0.5 5 Jul 2022)
Die obigen Ergebnisse zeigen ein System mit einer SSL 3.x-Library, das den Patch vom Dienstag benötigt. Zusätzlich zu dieser Überprüfung müssen IT-Sicherheits- und IT-Teams möglicherweise nach nicht standardmäßigen Installationen suchen, da es möglich ist, dass auf den Systemen auch Anwendungssoftware oder Anwendungen laufen, die OpenSSL enthalten. Sie sollten auf Mitteilungen aller Software-Anbieter achten, insbesondere derjenigen, die Software oder Hardware mit Internet-Konnektivität anbieten.
IT-Sicherheits- und IT-Teams sollten sich die nötige Zeit nehmen, um die bevorstehenden OpenSSL 3.x-Schwachstellen zu identifizieren und zu beheben. Darüber hinaus sollten sie wissen, dass weitere kritische OpenSSL-Schwachstellen identifiziert wurden, die in der Zwischenzeit gepatcht werden sollten: CVE-2016-6309 und das größte OpenSSL-Problem von allen – Heartbleed, das 2014 bekannt wurde (Heartbleed ist älter als die Schweregradkriterien von OpenSSL). Heartbleed ermöglichte es Angreifern, sensible Daten aus der Ferne preiszugeben und richtete auch Jahre nach dem Ereignis noch Schaden an. Der Vorfall zeigte die Abhängigkeit des Internets von scheinbar kleinen Projekten auf, die von Freiwilligen betrieben werden. Die ganze Debatte danach brachte Forks wie LibreSSL und BoringSSL hervor, die versuchten, die komplexe Codebasis von OpenSSL zu bereinigen.