23.03.21
OpenSSL kündigt Update an - Sicherheitsrisiko hoch
OpenSSL veröffentlicht am Donnerstag 25.3.2021 zwischen 13h und 17h UTC (14h - 18h MEZ) ein Sicherheitspatch für die Version 1.1.1j. Das Risiko wird als "Hoch" beurteilt. Der Patch trägt die Nummer 1.1.1k
Das Sicherheitsrisiko
OpenSSL wird als “sicheres" Zugriffsprotokoll von Administratoren zur Steuerung ihrer Server und Systeme wie z.B. Firewalls eingesetzt. Ein mögliches Schreckensszenario ist, dass OpenSSH Server oder auch OpenVPN Server von der Schwachstelle betroffen sein könnten, da beide Systeme auf OpenSSL aufbauen.
Schlimmstenfalls könnte es sich um eine unauthenticated Remote Code Execution (RCE) handeln. Genauere Details zur Schwachstelle sind nicht bekannt.
Risiko "Hoch"
Hoher Schweregrad. Dazu gehören Probleme, die ein geringeres Risiko als “Kritisch” darstellen, vielleicht weil sie weniger verbreitete Konfigurationen betreffen oder weniger wahrscheinlich ausnutzbar sind. Details zu diesen Problemen werden nicht veröffentlicht sondern “privat” behandelt und lösen ein neues Release aller unterstützten Versionen aus.
Die Entwickler von OpenSSL versuchen, die Zeit, in der diese Probleme nicht veröffentlicht werden, auf ein Minimum zu beschränken. Ihr Ziel wäre es, nicht länger als einen Monat zu warten, wenn dies unter ihrer Kontrolle liegt.
Was muss ein Administrator tun
- Liste der betroffenen Systemen / Servern erstellen
- Update 1.1.1k abwarten und die betroffenen Systeme sofort patchen
Bin ich als Privatanwender auch betroffen
Falls Sie OpenSSL / OpenSSH Server / OpenSSH VPN für den Zugriff zu Ihren privaten Systemen / Servern / anderen Geräten einsetzen, so sind sie auch betroffen.
Ein “normaler” PC Anwender ist nicht betroffen