Expert Guide, NewsAktuelle Sicherheitslücken in OpenSSL CVE-2022-3602, CVE-2022-3786

Markus Stumpf — 08. November 2022
Lesezeit: 1:07 Minuten

Kritische Sicherheitslücken in OpenSSL veröffentlicht. Erfahren Sie jetzt, inwiefern IBM Spectrum Protect und IBM Spectrum Protect Plus betroffen sind.

Am 01.11.2022 wurden zwei kritische Sicherheitslücken in OpenSSL veröffentlicht. (siehe auch Heise) Diese Lücken wurden initial als „Critical“ bewertet, mittlerweile aber auf „High“ zurückgestuft.

IBM Spectrum Protect 

IBM Spectrum Protect implementiert die Prüfung von TLS-Zertifikaten mit dem IBM eigenen Global Security Kit (GSKit). Somit sind IBM Client Kommunikationen, Passwort Speicherung nicht direkt von diesen beiden Sicherheitslücken betroffen.

Unser Tipp

Nichtsdestotrotz sollte man auf den IBM PSIRT Blog beobachten, da IBM angekündigt hat, hier Statements zu den einzelnen IBM Produkten zu veröffentlichen.

 

Weiter zum Feed

IBM Spectrum Protect Plus

Bei IBM Spectrum Protect Plus ist in den Appliance OVAs Open SSL enthalten. Hier kann man die installierten Versionen überprüfen:

Prüfen, ob OpenSSL vorhanden ist

[serveradmin@esplus20 ~]$ which openssl
/usr/bin/openssl

Prüfen, welche OpenSSL Version vorhanden ist

[serveradmin@esplus20 ~]$ openssl version 
OpenSSL 1.0.2k-fips  26 Jan 2017

Der Beispiel-Output ist auf einer Spectrum Protect Plus Version 10.1.10 ausgeführt worden, somit sieht man, dass diese Appliance Version nicht betroffen ist, da die CVEs nur OpenSSL 3.0.0-3.0.6 betreffen.

Achtung

 

OpenSSL kann unabhängig der Backup Applikation Inhalt der zugrunde liegenden Betriebssysteme sein. Dies kann ebenfalls mit den obigen Befehlen überprüft werden.

Redhat teilweise betroffen

Redhat hat bereits veröffentlicht, dass nur RHEL 9 betroffen ist, was aber aktuell noch nicht als Betriebssystem für den IBM Spectrum Protect Server freigegeben ist:

 

https://access.redhat.com/security/cve/cve-2022-3786
https://access.redhat.com/security/cve/cve-2022-3602

Fazit

Spectrum Protect und Spectrum Protect Plus sind von dieser Sicherheitslücke nach unseren aktuellen Erkenntnissen nicht betroffen. Wir werden die Situation weiter beobachten und bei Änderungen unsere Webseite aktualisieren.

Sie haben Fragen? Kontaktieren Sie uns gern!

Wenn Sie sich hierfür interessieren, dann interessieren Sie sich vielleicht auch für...