IT-beveiliging: Linux, MacOS X en UNIX lopen risico – update voor IT-beveiligingswaarschuwing over OpenSSL (risico: gemiddeld)

Algemeen

Zoals de BSI meldt, heeft de IT-beveiligingswaarschuwing met betrekking tot een bekende kwetsbaarheid voor OpenSSL een update gekregen. Een beschrijving van het beveiligingslek, inclusief de nieuwste updates en informatie over de getroffen besturingssystemen Linux, MacOS X en UNIX en producten, kunt u hier lezen.

Op 16 april 2024 heeft het Federale Bureau voor Informatietechnologie (BSI) een update uitgebracht over een beveiligingsprobleem voor OpenSSL dat op 31 juli 2023 bekend werd. Het beveiligingsprobleem treft de besturingssystemen Linux, MacOS, Dell PowerEdge, IBM QRadar SIEM en Broadcom Fabric OS.

De nieuwste aanbevelingen van de fabrikant met betrekking tot updates, oplossingen en beveiligingspatches voor dit beveiligingslek vindt u hier: (vanaf 16 april 2024). Andere nuttige links vindt u verderop in dit artikel.

Beveiligingsmededeling voor OpenSSL – Risico: gemiddeld

Risiconiveau: 3 (gemiddeld)
CVSS-basisscore: 5,9
CVSS tijdelijke score: 5,2
Afstandsbediening: Ja

Het Common Vulnerability Scoring System (CVSS) wordt gebruikt om de kwetsbaarheid van computersystemen te beoordelen. De CVSS-standaard maakt het mogelijk om potentiële of feitelijke beveiligingskwetsbaarheden te vergelijken op basis van verschillende criteria om zo een prioriteitenlijst te creëren voor het nemen van tegenmaatregelen. De attributen “geen”, “laag”, “medium”, “hoog” en “kritiek” worden gebruikt om de ernstniveaus van een kwetsbaarheid te bepalen. De Basisscore evalueert de vereisten voor een aanval (inclusief authenticatie, complexiteit, privileges, gebruikersinteractie) en de gevolgen ervan. De temporele score houdt ook rekening met veranderingen in de tijd in de gevaarsituatie. De ernst van de hier besproken kwetsbaarheid wordt volgens de CVSS geclassificeerd als “medium” met een basisscore van 5,9.

OpenSSL-bug: kwetsbaarheid maakt Denial of Service mogelijk

OpenSSL is een gratis beschikbare broncodebibliotheek die Secure Sockets Layer (SSL) en Transport Layer Security (TLS) implementeert.

Een externe, anonieme aanvaller kan een kwetsbaarheid in OpenSSL misbruiken om een ​​denial-of-service-aanval uit te voeren.

De kwetsbaarheid wordt geïdentificeerd met het unieke CVE-identificatienummer (Common Vulnerabilities and Exposures). CVE-2023-3817 verhandeld.

Systemen die getroffen zijn door het OpenSSL-beveiligingsprobleem in één oogopslag

Besturingssystemen
Linux, MacOS X, UNIX, Windows

Producten
Amazon Linux 2 (cpe:/o:amazon:linux_2)
IBM AIX 7.2 (cpe:/o:ibm:aix)
Red Hat JBoss Core Services 1 (cpe:/a:redhat:jboss_core_services)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Fedora Linux (cpe:/o:fedoraproject:fedora)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Gentoo Linux (cpe:/o:gentoo:linux)
Red Hat JBoss Core-services (cpe:/a:redhat:jboss_core_services)
Xerox FreeFlow Print Server v7 (cpe:/a:xerox:freeflow_print_server)
Xerox FreeFlow Print Server v9 (cpe:/a:xerox:freeflow_print_server)
Siemens SIMATIC S7 1500 (cpe:/h:siemens:simatic_s7)
IBM Rational ClearCase 9.1 (cpe:/a:ibm:rational_clearcase)
IBM Rational ClearQuest 9.1 (cpe:/a:ibm:rational_clearquest)
IBM Rational ClearQuest 10.0 (cpe:/a:ibm:rational_clearquest)
Open Source OpenSSL <=3.1 (cpe:/a:openssl:openssl)
Open Source OpenSSL <=3.0 (cpe:/a:openssl:openssl)
Open Source OpenSSL <=1.1.1 (cpe:/a:openssl:openssl)
Open Source OpenSSL <=1.0.2 (cpe:/a:openssl:openssl)
Open Source OpenSSL <3.1.2 (cpe:/a:openssl:openssl)
Open Source OpenSSL <3.0.10 (cpe:/a:openssl:openssl)
Open Source OpenSSL <1.1.1v (cpe:/a:openssl:openssl)
Houdbare veiligheid Nessus <10.5.4 (cpe:/a:tenable:nessus)
IBM AIX 7.3 (cpe:/o:ibm:aix)
IBM Rational Build Forge 8.0.0.24 (cpe:/a:ibm:rational_build_forge)
Meinberg LANTIME <7.08.004 (cpe:/h:meinberg:lantime)
Red Hat JBoss-webserver <5.7.7 (cpe:/a:redhat:jboss_enterprise_web_server)
Red Hat eenmalige aanmelding <7.6.6 (cpe:/a:redhat:single_sign_on)
IBM Security Verify Access 10.0.0.0-10.0.6.1 (cpe:/a:ibm:security_verify_access)
Dell PowerEdge T40 <1.15.0 (cpe:/h:dell:poweredge)
IBM Rational ClearCase 10.0.1 (cpe:/a:ibm:rational_clearcase)
IBM QRadar SIEM <7.5.0 UP8 (cpe:/a:ibm:qradar_siem)
Broadcom Fabric-besturingssysteem <9.2.1 (cpe:/o:broadcom:fabric_operating_system)
Broadcom Fabric-besturingssysteem <9.1.1d (cpe:/o:broadcom:fabric_operating_system)
Broadcom Fabric-besturingssysteem <9.2.0b...

Buitenlands nieuws
Add a comment