News Kritischer OpenSSL-Fehler: Fedora 37 erscheint erst am 15. November

[andy_m4]

Inzwischen (also seit 15:36 Uhr) gibts jetzt auch den Fix für OpenSSL.
Jetzt könnt ihr mal gucken wie schnell das jeweils "eure" Distribution ausliefert. :-)

 

[Snowi]

Habe schon alle 2 Stunden mal geschaut, ob Debian den Patch schon raus gegeben hat.
Antwort: Sowohl Debian 10 Buster als auch Debian 11 Bullseye setzen auf OpenSSL 1.1.1n, welches laut dem Advisory nicht betroffen ist.
Keine Gewähr, aber so lese ich es raus

OpenSSL 1.1.1 and 1.0.2 are not affected by this issue.

 

[andy_m4]

Sowohl Debian 10 Buster als auch Debian 11 Bullseye setzen auf OpenSSL 1.1.1n, welches laut dem Advisory nicht betroffen ist

Ja. Der OpenSSL 1.1.1-Zweig ist von den beanstandeten Problemen nicht betroffen. Es gab zwar mit OpenSSL 1.1.1s auch da heute ne neue Version, aber die fixt ein kleines Problem (insofern ist es fraglich, ob da von Debian überhaupt was kommt; wenn dann bei unstable respektive testing die bei 3.0.5irgendwas sind).

Bei OpenSSL 1.1.1n sind schon ein paar Security-Probleme aufgelaufen. Allerdings sind die, soweit ich es überblicken kann, in der Debian-Version gepatcht worden (also zumindest CVE-2022-1292 und CVE-2022-2068 ; CVE-2022-2097 ist eh nur für Intel x86-32 relevant). Das ist also kein vanilla OpenSSL 1.1.1n

 

[andy_m4]

Gibt hier übrigens eine nette Zusammentragung von Software die verwundbar bzw. nicht betroffen ist:
https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software