Det blir publisert detaljer om en kritisk sårbarhet i OpenSSL i morgen 1. november mellom klokken 14:00 og 18:00 [1]. Sårbarheten påvirker kun versjon 3.x av OpenSSL.

OpenSSL er et mye brukt bibliotek for kryptering av nettverkstrafikk. Eksempler på bruksområder:

    - Webservere som Apache og NGINX bruker normalt OpenSSL for HTTPS

    - Nettlesere som Google Chrome og Safari bruker varianter av OpenSSL for HTTPS

    - Andre produkter som bruker SSL/TLS

OpenSSL vurderer sårbarheten som kritisk [2]. NCSC har ikke mer informasjon om sårbarheten enn det OpenSSL selv har publisert.

Anbefalinger:

- - Kartlegg hvilke tjenester virksomheten din eksponerer på Internett som bruker OpenSSL 3.x

- - Vær klar for å patche tjenester som kan være sårbare

- - Vurder om tjenester bør bli tatt av nett frem til de er patchet

Operativsystemer som kommer med OpenSSL versjon 3.x (merk: ikke utfyllende):

- - Ubuntu 22.04 LTS

- - RHEL version 9

NCSC vil sende ut mer informasjon når denne foreligger.

Referanser

[1] https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html

[2] https://www.openssl.org/policies/general/security-policy.html