Wir raten unseren Kunden in den meisten Fällen dazu, Updates schnellstmöglich einzuspielen. Manchmal ist dies jedoch nicht der Fall, wie in einem aktuellen Beispiel, was wir Ihnen heute gerne vorstellen möchten:
Auf der neuesten Version der OpenSSL-Bibliothek vom 21.06 (Version 3.0.4) wurde kürzlich eine Schwachstelle identifiziert. Innerhalb ausgewählter Systeme ist die neue Version anfällig für eine Remote Memory Corruption. Dieses Problem tritt bei x64-Systemen mit dem AVX-512-Befehlssatz auf. OpenSSL 1.1.1 sowie die OpenSSL-Forks, BoringSSL und LibreSSL sind nicht betroffen.
OpenSSL ist eine beliebte Kryptografie-Bibliothek, die eine Open-Source-Implementierung des TLS-Protokolls (Transport Layer Security) bietet. Advanced Vector Extensions (AVX) sind Erweiterungen der x86-Befehlssatzarchitektur für Mikroprozessoren von Intel und AMD.
Experten diskutieren aktuell darüber, ob es sich tatsächlich um eine Schwachstelle handelt oder eher um einen kritischen Fehler, der die Version 3.0.4 auf AVX-512-fähigen Maschinen unbrauchbar macht, da keine Beweise dafür vorliegen, dass sie ausgenutzt werden könnte. Angesichts der Schwere des Problems ist es aus unserer Sicht jedoch notwendig, die Version 3.0.5 so schnell wie möglich zu veröffentlichen.
Unsere Handlungsempfehlung:
Vermeiden Sie, wenn möglich, die Installation der OpenSSL Version 3.0.4 oder installieren Sie den veröffentlichten Fix.
Quelle:
https://guidovranken.com/2022/06/27/notes-on-openssl-remote-memory-corruption/
https://github.com/openssl/openssl/pull/18626/commits/71ad6a8da3e39bd4caf5c6c767287ddd9bce8bae