Forvarsel: Kritisk sårbarhet i OpenSSL 3.x
Det blir publisert detaljer om en kritisk sårbarhet i OpenSSL i morgen 1. november mellom klokken 14:00 og 18:00 [1]. Sårbarheten påvirker kun versjon 3.x av OpenSSL.
OpenSSL er et mye brukt bibliotek for kryptering av nettverkstrafikk. Eksempler på bruksområder:
- Webservere som Apache og NGINX bruker normalt OpenSSL for HTTPS
- Nettlesere som Google Chrome og Safari bruker varianter av OpenSSL for HTTPS
- Andre produkter som bruker SSL/TLS
OpenSSL vurderer sårbarheten som kritisk [2]. NCSC har ikke mer informasjon om sårbarheten enn det OpenSSL selv har publisert.
Anbefalinger:
- - Kartlegg hvilke tjenester virksomheten din eksponerer på Internett som bruker OpenSSL 3.x
- - Vær klar for å patche tjenester som kan være sårbare
- - Vurder om tjenester bør bli tatt av nett frem til de er patchet
Operativsystemer som kommer med OpenSSL versjon 3.x (merk: ikke utfyllende):
- - Ubuntu 22.04 LTS
- - RHEL version 9
NCSC vil sende ut mer informasjon når denne foreligger.
Referanser
[1] https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
[2] https://www.openssl.org/policies/general/security-policy.html