OpenSSL bereitet den Patch vor (öffnet in neuem Tab) sein erster kritischer Fehler seit acht Jahren. Das OpenSSL-Projekt hat ein neues Software-Update angekündigt, das mehrere Schwachstellen im Open-Source-Toolkit beheben soll, darunter einen als kritisch definierten Fehler.
„Das OpenSSL-Projektteam möchte die bevorstehende Veröffentlichung von OpenSSL Version 3.0.7 ankündigen. Diese Version wird am Dienstag, den 1. November 2022 zwischen 13:00 und 17:00 UTC zur Verfügung gestellt.“ liest die Bekanntmachung (öffnet in neuem Tab). „OpenSSL 3.0.7 ist eine Sicherheitsfix-Version. Das in dieser Version behobene Problem mit dem höchsten Schweregrad ist KRITISCH.“
„Beispiele umfassen eine erhebliche Offenlegung des Inhalts des Serverspeichers (möglicherweise die Offenlegung von Benutzerdetails), Schwachstellen, die leicht aus der Ferne ausgenutzt werden können, um private Schlüssel des Servers zu kompromittieren, oder wo die Ausführung von Remotecode in häufigen Situationen als wahrscheinlich angesehen wird“, sagten die Entwickler.
Patch kommt nächsten Monat
Der Fehler betrifft die Versionen 3.0 und höher und ist die zweite kritische Schwachstelle, die jemals vom OpenSSL-Projekt behoben wurde, wobei Heartbleed (CVE-2014-0160) die erste im Jahr 2014 war.
Der Veröffentlichungstermin für die Version 3.0.7 ist nun auf den 1. November festgelegt. Die Entwickler bezeichnen sie als „Security-Fix-Release“. Parallel dazu wird am selben Tag ein Bugfix-Release, 1.1.1s, veröffentlicht.
Die Ankündigung eines schwerwiegenden Fehlers eine Woche vor der Veröffentlichung eines Patches könnte Cyberkriminelle dazu motivieren, an Stellen nach Schwachstellen zu suchen, an denen sie sonst nicht suchen würden. Branchenexperten glauben jedoch, dass die Vorteile einer solchen Ankündigung manchmal die Risiken überwiegen.
CTO von Sonatype, Brian Fox, kommentierte zum Beispiel:
„Die Spekulation geht davon aus, dass der Fix in der öffentlich sichtbaren Quelle verfügbar ist und die Vorankündigung Angreifern Zeit gibt, ihn zu finden. Diese Annahme ist möglicherweise nicht wahr, es ist manchmal eine bewährte Vorgehensweise, die tatsächliche Änderung aus genau diesem Grund bis nach der Ankündigung zu sperren. Das Team von OpenSSL besteht aus einigen der führenden Experten für den Umgang mit hochkarätigen Offenlegungen von Open-Source-Schwachstellen, und wenn sie entschieden haben, dass dies die beste Vorgehensweise ist – eine Vorankündigung – dann vertraue ich dieser Entscheidung.“
Mark J. Cox, Mitglied des OpenSSL-Kernteams, verstärkte dieses Argument noch einmal und sagte, dass die Wahrscheinlichkeit gering ist, dass Gauner sie missbrauchen, bevor sie gepatcht wird, da es so wenige Details über die Schwachstelle gibt. IT-Teams eine Vorwarnung zu geben, wenn der Patch eintrifft, überwiegt bei weitem die potenziellen Risiken, dass Gauner den Fehler missbrauchen, schlägt er vor:
„Angesichts der Anzahl der Änderungen in 3.0 und des Fehlens anderer Kontextinformationen, [threat actors going through the commit history between versions 3.0 and the current one to find anything] ist sehr unwahrscheinlich“, twitterte er.
Über: Sicherheitsangelegenheiten (öffnet in neuem Tab)