Das OpenSSL-Team hat ein Update für nächste Woche am Dienstag, den 1. November, angekündigt.
Paul Baird, UK CTSO Qualys sagt dazu: „Das OpenSSL-Team definiert ein kritisches Sicherheitsupdate als eines, das ´gängige´ Konfigurationen betrifft und wahrscheinlich auch ausnutzbar ist. Beispiele hierfür sind eine signifikante Offenlegung des Inhalts des Serverspeichers (die möglicherweise Benutzerdaten preisgibt), Schwachstellen, die leicht aus der Ferne ausgenutzt werden können, um die privaten Schlüssel des Servers zu kompromittieren, oder bei denen eine entfernte Codeausführung in üblichen Situationen als wahrscheinlich angesehen wird.
Es handelt sich also um ein Problem, das so gut wie jeder sofort nach der Veröffentlichung der aktualisierten Versionen von OpenSSL beheben muss. Aus Sicht der Planung und Prioritätensetzung werden viele Sicherheitsexperten ihre Zeit in der nächsten Woche damit verbringen.
Die beste Vorgehensweise wäre, alle OpenSSL-Implementierungen einer Organisation zu kennen, zu wissen, welche Versionen sie haben, und Aktualisierungspläne entsprechend zu priorisieren. Bei so etwas ist man immer gewarnt, denn ich gehe davon aus, dass sowohl Sicherheitsexperten als auch böswillige Akteure großes Interesse an den Details eines Problems und an der Veröffentlichung eines Proof-of-Concept-Codes zeigen werden.“
Info: Das Update wurde auf der „oss-security release list“ angekündigt: https://www.openwall.com/lists/oss-security/2022/10/25/4
#Qualys
