Wie das BSI meldet, hat die IT-Sicherheitswarnung bezüglich einer bekannten Schwachstelle für OpenSSL ein Update erhalten. Welche Betriebssysteme und Produkte von den Sicherheitslücken betroffen sind, lesen Sie hier auf news.de.
Suche
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24.04.2024 ein Update zu einer am 01.11.2022 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen für OpenSSL herausgegeben. Betroffen von der Sicherheitslücke sind die Betriebssysteme Appliance, CISCO Appliance, F5 Networks, Hardware Appliance, Juniper Appliance, Linux, MacOS X, UNIX und Windows sowie die Produkte SolarWinds Serv-U Managed File Transfer Server, Amazon Linux 2, IBM AIX, Red Hat Enterprise Linux, NetApp Data ONTAP, Ubuntu Linux, SUSE Linux, Oracle Linux, HPE Switch, Microsoft Windows Azure, Gentoo Linux, Broadcom Brocade Switch, Alcatel Lucent Enterprise OmniSwitch, Juniper JUNOS, Open Source OpenSSL, IBM MQ, Tenable Security Nessus, Open Source Node.js, Unify OpenScape UC Application, Lenovo Computer, IBM Spectrum Protect und AMD Radeon.
Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: Oracle Linux Security Advisory ELSA-2024-20865 (Stand: 25.04.2024). Weitere nützliche Links werden weiter unten in diesem Artikel aufgeführt.
Mehrere Schwachstellen für OpenSSL - Risiko: mittel
Risikostufe: 4 (mittel)
CVSS Base Score: 7,5
CVSS Temporal Score: 6,7
Remoteangriff: Ja
Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Kriterien miteinander zu vergleichen, um Gegenmaßnahmen besser priorisieren zu können. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Das Risiko der hier behandelten Schwachstelle wird nach dem CVSS mit einem Base Score von 7,5 als "mittel" eingestuft.
OpenSSL Bug: Auswirkungen eines IT-Angriffs
OpenSSL ist eine im Quelltext frei verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Transport Layer Security (TLS) implementiert.
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in OpenSSL ausnutzen, um einen Denial of Service Zustand herbeizuführen und potenziell um beliebigen Programmcode auszuführen.
Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2022-3602 und CVE-2022-3786.
Von der OpenSSL-Sicherheitslücke betroffene Systeme im Überblick
Betriebssysteme
Appliance, CISCO Appliance, F5 Networks, Hardware Appliance, Juniper Appliance, Linux, MacOS X, UNIX, Windows
Produkte
SolarWinds Serv-U Managed File Transfer Server 15.3.1 (cpe:/a:solarwinds:serv-u)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
IBM AIX (cpe:/o:ibm:aix)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
NetApp Data ONTAP (cpe:/a:netapp:data_ontap)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
HPE Switch (cpe:/h:hp:switch)
Microsoft Windows Azure (cpe:/a:microsoft:windows_azure)
Gentoo Linux (cpe:/o:gentoo:linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Broadcom Brocade Switch (cpe:/h:brocade:switch)
Alcatel Lucent Enterprise OmniSwitch (cpe:/h:alcatel-lucent:omniswitch)
Juniper JUNOS Evolved (cpe:/o:juniper:junos)
Open Source OpenSSL >=3.0.0 (cpe:/a:openssl:openssl)
IBM MQ 9.3 LTS (cpe:/a:ibm:mq)
Open Source OpenSSL <3.0.7 (cpe:/a:openssl:openssl)
Tenable Security Nessus Agent 10.0.0-10.2.0 (cpe:/a:tenable:nessus)
Tenable Security Nessus 10.3.2 (cpe:/a:tenable:nessus)
Tenable Security Nessus <10.4.1 (cpe:/a:tenable:nessus)
Open Source Node.js <14.21.1 (cpe:/a:nodejs:nodejs)
Open Source Node.js <16.18.1 (cpe:/a:nodejs:nodejs)
Open Source Node.js <18.12.1 (cpe:/a:nodejs:nodejs)
Open Source Node.js <19.0.1 (cpe:/a:nodejs:nodejs)
Unify OpenScape UC Application >10.4.8.2 (cpe:/a:unify:openscape_uc_application)
Tenable Security Nessus <network monitor 6.1.1 (cpe:/a:tenable:nessus)
Lenovo Computer (cpe:/h:lenovo:computer)
IBM Spectrum Protect plus <10.1.14 (cpe:/a:ibm:spectrum_protect)
AMD Radeon (cpe:/h:amd:radeon)
Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken
- Anwender der betroffenen Systeme sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie diese zeitnah.
- Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
- Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, wann das herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.
Quellen zu Updates, Patches und Workarounds
An dieser Stelle finden Sie weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.
Oracle Linux Security Advisory ELSA-2024-20865 vom 2024-04-25 (24.04.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-20865.html
Oracle Linux Security Advisory ELSA-2024-12343 vom 2024-04-25 (24.04.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12343.html
Amazon Linux Security Advisory ALAS-2023-286 vom 2024-01-23 (22.01.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2022/ALAS-2023-286.html
HPE Securi+y Bulletin (13.08.2023)
Weitere Informationen finden Sie unter: https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-hpesbst04494en_us
AMD Security Bulletin AMD-SB-7001 vom 2023-08-09 (08.08.2023)
Weitere Informationen finden Sie unter: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7001.html
Lenovo Security Advisory LEN-106015 vom 2023-08-09 (08.08.2023)
Weitere Informationen finden Sie unter: https://support.lenovo.com/us/en/product_security/LEN-106015
IBM Security Bulletin 6999285 vom 2023-05-30 (30.05.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6999285
IBM Security Bulletin 6857295 vom 2023-01-24 (24.01.2023)
Weitere Informationen finden Sie unter: https://aix.software.ibm.com/aix/efixes/security/openssl_advisory37.asc
SUSE Security Update SUSE-SU-2022:4586-1 vom 2022-12-20 (20.12.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-December/013293.html
Oracle Linux Security Advisory ELSA-2022-10004 vom 2022-11-17 (17.11.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-10004.html
SolarWinds Trust Center Security Advisories (10.11.2022)
Weitere Informationen finden Sie unter: https://www.solarwinds.com/de/trust-center/security-advisories/cve-2022-3602-and-cve-2022-3786
Alcatel-Lucent Security Advisory (08.11.2022)
Weitere Informationen finden Sie unter: https://app.conversation.al-enterprise.com/e/er?s=138097979&lid=16028
Tenable Security Advisory TNS-2022-25 vom 2022-11-08 (08.11.2022)
Weitere Informationen finden Sie unter: https://www.tenable.com/security/tns-2022-25
Unify Security Advisory Report OBSO-2211-01 vom 2022-11-08 (08.11.2022)
Weitere Informationen finden Sie unter: https://networks.unify.com/security/advisories/OBSO-2211-01.pdf
Microsoft Leitfaden für Sicherheitsupdates vom 2022-11-02 (08.11.2022)
Weitere Informationen finden Sie unter: https://msrc.microsoft.com/update-guide
node.js Security Release (06.11.2022)
Weitere Informationen finden Sie unter: https://nodejs.org/en/blog/vulnerability/november-2022-security-releases/
IBM Security Bulletin 6837195 vom 2022-11-05 (06.11.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/blogs/psirt/security-bulletin-ibm-mq-advanced-message-security-on-ibm-i-platforms-is-affected-by-a-buffer-overflow-issue-in-openssl-cve-2022-3602-cve-2022-3786/
NetApp Security Advisory NTAP-20221102-0001 vom 2022-11-02 (02.11.2022)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20221102-0001/
Tenable Security Advisory TNS-2022-23 vom 2022-11-03 (02.11.2022)
Weitere Informationen finden Sie unter: https://www.tenable.com/security/tns-2022-23
Tenable Security Advisory TNS-2022-22 vom 2022-11-02 (02.11.2022)
Weitere Informationen finden Sie unter: https://www.tenable.com/security/tns-2022-22
Tenable Security Advisory TNS-2022-24 vom 2022-11-03 (02.11.2022)
Weitere Informationen finden Sie unter: https://www.tenable.com/security/tns-2022-24
Red Hat Security Advisory RHSA-2022:7384 vom 2022-11-03 (02.11.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:7384
Tenable Security Advisory TNS-2022-22 vom 2022-11-02 (02.11.2022)
Weitere Informationen finden Sie unter: https://www.cybersecurity-help.cz/vdb/SB2022110251
PoC (01.11.2022)
Weitere Informationen finden Sie unter: https://github.com/micr0sh0ft/certscare-openssl3-exploit
Cisco Security Advisory cisco-sa-openssl-W9sdCc2a vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-W9sdCc2a
Juniper Security Bulletin vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://supportportal.juniper.net/s/article/2022-11-Out-of-Cycle-Security-Bulletin-High-severity-security-issues-resolved-in-OpenSSL-3-0-7-CVE-2022-3602-CVE-2022-3786
Ubuntu Security Notice USN-5710-1 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5710-1
Gentoo Linux Security Advisory GLSA-202211-01 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202211-01
SUSE Security Update SUSE-SU-2022:3843-1 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-November/012796.html
Oracle Linux Security Advisory ELSA-2022-7288 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-7288.html
Amazon Linux Security Advisory ALAS-2022-157 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2022/ALAS-2022-157.html
Red Hat Security Advisory RHSA-2022:7288 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:7288
OpenSSL Security Advisory vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://www.openssl.org/news/secadv/20221101.txt
Versionshistorie dieser Sicherheitswarnung
Dies ist die 13. Version des vorliegenden IT-Sicherheitshinweises für OpenSSL. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.
01.11.2022 - Initiale Fassung
02.11.2022 - Neue Updates von Tenable, Red Hat und NetApp aufgenommen
06.11.2022 - Neue Updates von IBM aufgenommen
08.11.2022 - Neue Updates von Unify und Tenable aufgenommen
10.11.2022 - Neue Updates aufgenommen
17.11.2022 - Neue Updates von Oracle Linux aufgenommen
20.12.2022 - Neue Updates von SUSE aufgenommen
24.01.2023 - Neue Updates von IBM aufgenommen
30.05.2023 - Neue Updates von IBM aufgenommen
08.08.2023 - Neue Updates von LENOVO und AMD aufgenommen
13.08.2023 - Neue Updates von HP aufgenommen
22.01.2024 - Neue Updates von Amazon aufgenommen
24.04.2024 - Neue Updates von Oracle Linux aufgenommen
+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++
Folgen Sie News.de schon bei Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Draht zur Redaktion.
kns/roj/news.de