Das OpenSSL-Projekt hat für morgen, den 01.11.2022, die Veröffentlichung von Sicherheitsaktualisierungen angekündigt. Diese sollen zwischen 13:00 und 17:00 (UTC) erscheinen und beheben laut der Ankündigung mehrere Sicherheitslücken, darunter eine als "CRITICAL" eingestufte Schwachstelle. Diese Einstufung erfolgte zuletzt 2014, für CVE-2014-0160 - besser bekannt als "Heartbleed".

Aufgrund des verhängten Embargos gibt es bisher weder eine öffentlich bekannte CVE-Nummer, noch sonderlich viele bestätigte Informationen und / oder technische Details. Das macht eine akkurate Einschätzung der Gefährdungslage herausfordernd, um es diplomatisch zu formulieren.

Was jedoch bekannt ist: Betroffen ist OpenSSL in den Versionen 3.0.0 bis 3.0.6, die morgen veröffentlichte Version 3.0.7 enthält die Behebung der Schwachstelle. Und die Information hilft zumindest dabei das Ausmaß der betroffenen Systeme besser einschätzen zu können.

Im Gegensatz zu OpenSSL in den Versionen 1.x.x ist Version 3.x.x deutlich weniger verbreitet. Viele Linuxdistributionen (darunter Systeme, die aufgrund ihrer langen Supportzeiträume im Serverbereich zum Einsatz kommen) setzen noch auf ältere Versionen der Bibliothek. Das sollte die Menge an verwundbaren Systemen drastisch einschränken. Die ersten Untersuchungen, die durch Mitarbeiter:innen eines IT-Dienstleisters vorgenommen wurden, bestätigen diese Vermutung:

To assess the potential impact of the vulnerability, we analyzed hundreds of cloud environments from all major CSPs (AWS, GCP, Azure, OCI, and Alibaba Cloud) that contained millions of workloads. We found that over 75% of organizations have at least one impacted instance in their environment. Fortunately, only 1.5% of OpenSSL instances are impacted versions, whereas 98.5% are older, unaffected versions.

Dennoch, davon ausgehend, dass die Entwickler:innen von OpenSSL sich nicht zum Spaß für diese Einschätzung entschieden haben: Für Systeme die auf eine verwundbare Version setzen werden die Auswirkungen wohl ernst sein.

Mir ist klar, dass "Habt Angst!" nicht unbedingt ein idealer Ratschlag ist. Das ist auch nicht die Botschaft, die diese Zeilen vermitteln sollen. Aufgrund der Informationspolitik der Entwickler:innen ist es aktuell leider nicht wirklich möglich zu sagen, wie sich die Situation entwickeln wird. Dennoch macht es Sinn die Schwachstelle ernst zu nehmen und Vorbereitungen zu treffen, damit die Sicherheitsaktualisierungen möglichst schnell eingespielt werden können.

• Betroffene Systeme identifizieren

Mittels sudo lsof -n | grep libssl.so.3 lässt sich auf den meisten Linux-Systemen herausfinden, welche laufenden Programme verwundbar sind. Unter Windows ist das Pendant zu diesem Befehl dir /b/s libssl*.dll. Von dort lässt sich dann feststellen welcher Service beziehungsweise welches darunterliegende Paket betroffen ist.

• Betroffene Systeme priorisieren

Verwundbare Systeme, die direkt aus dem Internet erreichbar sind, sollten als Erstes aktualisiert werden. Die weitere Priorisierung hängt von den eigenen operativen Bedürfnissen ab, aber für den Betrieb unabdingliche Systemen sollten kurz danach folgen. Auch wenn bisher nicht bekannt ist, ob es sich um eine Schwachstelle handelt, die Clients oder Server betrifft, wäre ich geneigt dem Aktualisieren von Servern / Services im Zweifelsfall die höhere Priorität einzuräumen.

• Abwarten, präferiertes Heißgetränk trinken - Ruhe bewahren!

Es könnte durchaus sein, dass der morgige Tag relativ hektisch wird was Medienberichterstattung und Filterblasen in den sozialen Medien betrifft. Auch wenn die Schwachstelle sich als katastrophal herausstellen sollte: Ruhe bewahren. Alle Anderen sind genauso verwundbar wie man selbst, alle Anderen sind genauso an der Grenze zur Panik und die Angreifer:innen kochen ebenfalls nur mit Wasser. Auch dieser Sturm wird vorbeigehen, egal ob er nun im (digitalen) Ozean oder Wasserglas entsteht.