BSI warnt vor kritischer Sicherheitslücke in OpenSSL
01.11.2022
Update am 02.11.2022
Die noch zuvor als kritisch eingestufte Sicherheitslücke in OpenSSL wurde nun leicht heruntergestuft.
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/Update
Weitere Informationen zu dem Update finden Sie auch unter heise.de
https://www.heise.de/news/OpennSSL-Update
https://www.golem.de/news/tls-bibliothek-erste-kritische-luecke-in-openssl-seit-2016-braucht-update-2211-169380.html
https://www.zdnet.de/88404553/openssl-warnt-vor-kritischer-sicherheitsluecke/
https://www.datensicherheit.de/openssl-sicherheitsluecke-heartbleed
Update am 02.11.2022
Die noch zuvor als kritisch eingestufte Sicherheitslücke in OpenSSL wurde nun leicht heruntergestuft.
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/Update
Die durch den Patch behobenen schwerwiegenden Schwachstellen CVE-2022-3786 und CVE-2022-3602 betreffen den Punycode-Parser und erlauben jeweils einen Pufferüberlauf, der zu Nichtverfügbarkeit von Diensten und unter bestimmten Bedingungen zur Codeausführung genutzt werden kann. Die Schwachstellen betreffen das Parsen von EMail-Adressen in X.509-Zertifikaten nach der Zertifikatsvalidierung.
Weitere Informationen zu dem Update finden Sie auch unter heise.de
https://www.heise.de/news/OpennSSL-Update
Maßnahmen
- Da DoS-Attacken durchgeführt werden könnten, sollten die Updates je nach Verfügbarkeit für die entsprechenden Produkte und Betriebssysteme zeitnah eingespielt werden.
- Unter dem nachfolgenden Link können Sie überprüfen welche Produkte betroffen sein könnten. Zusätzlich können Sie dort Tools und Skripte einsehen, die zur Identifizierung betroffener OpenSSL Bibliotheken genutzt werden können. https://github.com/NCSC-NL/OpenSSL-2022
- Wenn Sie in Niedersachsen als Unternehmen oder Behörde betroffen sind und die Lücke zu Ihrem Nachteil ausgenutzt wurde, melden Sie sich gerne bei uns.
https://www.golem.de/news/tls-bibliothek-erste-kritische-luecke-in-openssl-seit-2016-braucht-update-2211-169380.html
https://www.zdnet.de/88404553/openssl-warnt-vor-kritischer-sicherheitsluecke/
https://www.datensicherheit.de/openssl-sicherheitsluecke-heartbleed