Vor kurzem wurde auf der Mailingliste von OpenSSL bekannt gegeben, dass die freie Software für Transport Layer Security (TLS) von einer kritischen Sicherheitslücke betroffen ist, die am heutigen 1. November gepatcht werden soll. Die Kryptobibliothek OpenSSL ist immens wichtig bei gesicherten Datenübertragungen in Computernetzwerken und spielt im Internet eine wichtige Rolle unter anderem bei der Verwendung von HTTPS.
Fedora 37 verschoben
Um ein Ausnutzen der Schwachstelle im Vorfeld möglichst zu verhindern, gibt es bisher keinerlei Informationen zu der Lücke selbst. Es ist jedoch die zweite Verwundbarkeit, die nach Heartbleed vom April 2014 als kritisch ausgewiesen wurde. Auf Anraten von Red Hat hat Fedora daraufhin die Veröffentlichung von Fedora Linux 37, das am 1. 11 erscheinen sollte, um zwei Wochen nach hinten geschoben, um die gepatchte Version dieser wichtigen Bibliothek ausreichend testen zu können.
Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat eine Warnung vor dieser Schwachstelle veröffentlicht und ihr mit Bedrohungsstufe 3 und der Farbe Orange die zweithöchste Bedrohungslage zugeordnet. Dort heißt dazu: »Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs«.
OpenSSL 3.0.7 am Nachmittag
Bisher ist lediglich bekannt, dass nach aktuellem Kenntnisstand keine Versionen vor dem im September 2021 veröffentlichten OpenSSL 3.0 betroffen sind. Das Update soll heute zwischen 14 und 18 Uhr unserer Zeit erscheinen und wird die Versionsnummer 3.0.7 tragen. Aktuell ist derzeit OpenSSL 3.0.6 vom September 2022. Die bei euch installierte Version lässt sich mit dem Befehl openssl version überprüfen.
Sowohl das BSI als auch die OpenSSL-Entwickler raten zur Aufmerksamkeit und zum sofortigen Einsatz des Patches, sobald er verfügbar ist. Aufgrund der angenommenen Schwere der Lücke werden Distributionen zeitnah gepatchte Pakete bereitstellen.
Bild: Photo by FLY:D on Unsplash