Hohes Risiko

Update: OpenSSL schliesst zwei Sicherheitslücken mit einem Patch

Uhr
von Coen Kaat und cwa

Admins, die auf OpenSSL setzen, sollten ihre Systeme aktualisieren. Ein neuer Patch schliesst zwei Sicherheitslücken mit hohem Risiko im Open-Source-basierten Verschlüsselungsprotokoll. Die Kantonspolizei Zürich rät, das Update sofort einzuspielen.

(Source: Julien Eichinger / AdobeStock)
(Source: Julien Eichinger / AdobeStock)

Update vom 26.03.2021: Nun, da der Patch bereitsteht, hat OpenSSL mehr Informationen zu den dadurch behobenen Schwachstellen veröffentlicht. Der Patch schliesst nämlich zwei Sicherheitslücken: CVE-2021-3449 und CVE-2021-3450.

  • CVE-2021-3449: Ein Denial-of-Service-Fehler aufgrund einer Nullzeiger-Dereferenzierung, der nur OpenSSL-Serverinstanzen betrifft und nicht die Clients.

  • CVE-2021-3450: Eine Sicherheitslücke bei der Validierung von Zertifikaten der Zertifizierungsstelle (CA), die sich sowohl auf die Server- als auch auf die Client-Instanzen auswirkt.

Gemäss OpenSSL wurden die Probleme am 17. März von Nokia gemeldet. Auch die Lösung komme von Nokia.

Originalmeldung vom 24.03.2021: OpenSSL bringt Update aufgrund eines hohen Sicherheitsrisikos

Das Team hinter dem OpenSSL-Projekt hat ein Sicherheitspatch für die aktuelle Version 1.1.1j angekündigt. Der Patch mit der Bezeichnung 1.1.1k soll ein nicht näher identizifiertes Problem lösen, das als "hohes Risiko" eingestuft wurde.

Die Risikostufe ist ein Schritt unter "kritisch" und beschreibt Probleme, die eventuell weniger verbreitete Konfigurationen betreffen oder schwieriger auszunutzen sind, wie das Projektteam erklärt. Details zu solchen Problemen veröffentliche das Team nicht, aber es bemühe sich darum, sie stets innerhalb eines Monats mit Patches für alle untertsützten Versionen zu beheben.

Was Admins jetzt tun sollten

Die Kantonspolizei Zürich rät Administratoren dazu, eine Liste der betroffenen Systeme und Server zu erstellen. Diese Liste solle man dann abarbeiten und alle Geräte patchen, sobald das Sicherheitsupdate da ist (Donnerstag 25.3.2021 zwischen 13.00 und 17:00 Uhr UTC beziehungsweise zwischen 14.00 und 18:00 Uhr MEZ). Privatanwender seien nicht betroffen - sofern sie keine OpenSSL-Server, OpenSSH-Server oder OpenSSH-VPN nutzen würden.

OpenSSL ist eine auf Open-Source-Software basierte Programmbibliothek für die Absicherung von Netzwerken. Sie kommt etwa häufig bei Internet-Servern zum Einsatz und implementiert dazu die Verschlüsselungsprotokolle SSL (Secure Sockets Layer) und TLS (Transport Layer Security). OpenSSL werde als sicheres Zugriffsprotokoll von Administratoren zur Steuerung ihrer Server und Systeme wie etwa Firewalls verwendet.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_211369