{"id":274597,"date":"2022-10-31T15:05:05","date_gmt":"2022-10-31T14:05:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274597"},"modified":"2023-05-30T12:44:34","modified_gmt":"2023-05-30T10:44:34","slug":"hinweis-patch-fr-openssl-schwachstelle-zum-1-nov-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/31\/hinweis-patch-fr-openssl-schwachstelle-zum-1-nov-2022\/","title":{"rendered":"Hinweis: Patch f&uuml;r OpenSSL Schwachstelle zum 1. Nov. 2022"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/10\/31\/hinweis-patch-fr-openssl-schwachstelle-zum-1-nov-2022\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kleiner Vorab-Hinweis f\u00fcr Nutzer von OpenSSL &#8211; es gibt wohl eine Schwachstelle in der Implementierung dieser Software. Nun hat das Team der OpenSLL-Entwickler angek\u00fcndigt, dass man zum 1. November 2022 ein Update auf die Version 3.0.7\u00a0 ver\u00f6ffentlichen werde. Nun wird spekuliert, dass dies auch den Fix f\u00fcr eine OpenSLL-Schwachstelle beinhaltet und wie kritisch das Ganze wird.<\/p>\n<p><!--more--><\/p>\n<h2>Was ist OpenSSL?<\/h2>\n<p>OpenSSL ist eine weit verbreitete Code-Bibliothek, die eine sichere Kommunikation \u00fcber das Internet erm\u00f6glicht. OpenSSL umfasst Implementierungen der Netzwerkprotokolle und verschiedener Verschl\u00fcsselungen sowie das Programm openssl f\u00fcr die Kommandozeile zum Beantragen, Erzeugen und Verwalten von Zertifikaten (<a href=\"https:\/\/de.wikipedia.org\/wiki\/OpenSSL\" target=\"_blank\" rel=\"noopener\">siehe<\/a>). Wer im Internet surft, eine Website besucht oder auf einen Online-Dienst zugreift, nutzt OpenSSL.<\/p>\n<h2>OpenSSL 3.0.7 kommt<\/h2>\n<p>Mir ist der Hinweise von mehreren Seiten zugegangen, sowohl von den Sicherheitsexperten von Check Point als auch auf Twitter sowie von Blog-Leser Timo W. (danke daf\u00fcr). Timo schrieb:<\/p>\n<blockquote><p>Hallo G\u00fcnter,<\/p>\n<p>folgendes w\u00e4re m\u00f6glicherweise eine Erw\u00e4hnung in deinem Blog wert.<\/p>\n<p>Am 01.11 soll ein Fix f\u00fcr eine ziemlich kritische OpenSSL Schwachstelle erscheinen. (3.0.7)<\/p>\n<p>Diese betrifft wohl alle OpenSSL Versionen ab Version 3. Patching wird dringenst zeitnah empfohlen.<\/p>\n<p>Siehe beispielsweise:<\/p>\n<p><a href=\"https:\/\/www.heise.de\/news\/Wichtige-Sicherheitspatches-fuer-OpenSSL-in-Sicht-7320616.html\" target=\"_blank\" rel=\"noopener\">Wichtige Sicherheitspatches f\u00fcr OpenSSL in Sicht | heise online<\/a><\/p>\n<p>oder auch<\/p>\n<p><a href=\"https:\/\/mta.openssl.org\/pipermail\/openssl-announce\/2022-October\/000238.html\" target=\"_blank\" rel=\"noopener\">Forthcoming OpenSSL Releases<\/a><\/p><\/blockquote>\n<p>In der Mitteilung des OpenSLL-Teams wird von einem Sicherheitsfix gesprochen, ohne Details offen zu legen. Das Update soll am Dienstag, den 1. November 2022 (am sp\u00e4teren Nachmittag) freigegeben werden.<\/p>\n<h2>War das was?<\/h2>\n<p>Und nun wird es spannend. Die Entwickler schreiben, dass OpenSSL 3.0.7 Fixes f\u00fcr eine Schwachstelle enth\u00e4lt, die mit dem h\u00f6chsten Schweregrad Critical gekennzeichnet ist. Dazu schreiben die Leute von Check Point:<\/p>\n<blockquote><p>In einer offiziellen Erkl\u00e4rung vom vergangenen Dienstag k\u00fcndigte das OpenSSL-Projektteam die bevorstehende Ver\u00f6ffentlichung der n\u00e4chsten Version an, die am Dienstag, den 1. November, erscheinen wird. Es wird erwartet, dass diese Version 3.0.7 einen Fix f\u00fcr eine kritische Sicherheitsl\u00fccke enth\u00e4lt. W\u00e4hrend genaue Details der Sicherheitsl\u00fccke zu diesem Zeitpunkt noch unbekannt sind, rufen wir Organisationen dazu auf, die Ver\u00f6ffentlichung aufmerksam zu verfolgen, ihre Systeme mit Patches zu versehen und alle Schutzma\u00dfnahmen auf dem neuesten Stand zu halten, bis weitere Details bekannt werden.<\/p><\/blockquote>\n<p>Interessant ist aber der <a href=\"https:\/\/twitter.com\/wdormann\/status\/1586053314583490560\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Will Dormann vom 28. Oktober 2022, der davon ausgeht, dass ein praktisch nicht wie z.B. Heartbleed ausnutzbarer Speicherfehler gepatcht werden d\u00fcrfte.<\/p>\n<p><a href=\"https:\/\/twitter.com\/wdormann\/status\/1586053314583490560\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"OpenSSL 3.0.7 \" src=\"https:\/\/i.imgur.com\/5UzidfF.png\" alt=\"OpenSSL 3.0.7 \" \/><\/a><\/p>\n<p>Die Frage ist dann, wie weitreichend das Sicherheitsproblem ist. Mal abwarten, ob am 1. November 2022 pl\u00f6tzlich alle m\u00f6glichen Betriebssystem- und Software-Updates anstehen. Denn als Endanwender kann man eh wenig tun &#8211; die OpenSSL-Bibliothek steckt ja in Produkten. Wenn ich dann sehe, wie schlecht der Patchstand &#8211; speziell bei IoT-Ger\u00e4ten oder Android-Smartphones &#8211; ist, wird deutlich, auf welcher Rasierklinge die gesamte Branche reitet. Es ist ein Unding, wenn durch solche Geschichten Milliarden Ger\u00e4te wegen fehlender Patches sicherheitstechnik zum Elektronik-Schrott werden. Im Grunde m\u00fcsste es (alleine aus Gr\u00fcnden der Nachhaltigkeit) eine Verpflichtung der Hersteller f\u00fcr Patches \u00fcber die Lebensdauer der Ger\u00e4te geben.<\/p>\n<p><strong>Erg\u00e4nzung<\/strong>: In der Tanium-Community gibt es den Beitrag <a href=\"https:\/\/community.tanium.com\/s\/article\/How-Tanium-Can-Help-Identify-OpenSSL-3-0-X\" target=\"_blank\" rel=\"noopener\">How Tanium Can Help Identify OpenSSL 3.0.X<\/a>, in dem noch einige \u00dcberlegungen angestellt werden &#8211; genaueres werden wir aber erst wissen, wenn die Details zur Schwachstelle \u00f6ffentlich sind.<\/p>\n<p><strong>Erg\u00e4nzung 2:<\/strong> OpenSSL 3.0.7 ist ver\u00f6ffentlicht &#8211; siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/01\/openssl-3-0-7-mit-sicherheitsfix-verfgbar\/\">OpenSSL 3.0.7 mit Sicherheitsfix verf\u00fcgbar<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleiner Vorab-Hinweis f\u00fcr Nutzer von OpenSSL &#8211; es gibt wohl eine Schwachstelle in der Implementierung dieser Software. Nun hat das Team der OpenSLL-Entwickler angek\u00fcndigt, dass man zum 1. November 2022 ein Update auf die Version 3.0.7\u00a0 ver\u00f6ffentlichen werde. Nun wird &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/10\/31\/hinweis-patch-fr-openssl-schwachstelle-zum-1-nov-2022\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[4328,3836,4315],"class_list":["post-274597","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-sicherheit","tag-software","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274597","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274597"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274597\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274597"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274597"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274597"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}