CVE-2022-2274: Remote Code Execution in OpenSSL 3.0.4

Fette SicherheitslĂŒcke in OpenSSL 3.0.4. Andere Versionen nicht betroffen!

CVE-2022-2274: Remote Code Execution in OpenSSL 3.0.4

Bei Operationen mit einem 2048bit RSA Key kann auf einem X86 mit AVX512IFMA Instruktionen ein Heap-Overflow erzeugt werden, der zu einer Remote-Code-Schwachstelle ausgebaut werden kann.

Es wird empfohlen auf 3.0.5 zu aktualisieren. Alle anderen Versionen sind nicht von der LĂŒcke betroffen.

Quelle: https://www.openssl.org/news/secadv/20220705.txt

Follow-UP: „Hello, you reached Interpol, how can we …“ *click*

Heute morgen gabs Neuigkeiten von der Kripo aus Wuppertal dazu.

Follow-UP: „Hello, you reached Interpol, how can we …“ *click*

Die Kripo hat mich heute morgen darĂŒber informiert, daß jetzt raus wĂ€re, wie es zu den Anrufen kam und, daß das *** damit nichts zu tun hĂ€tte, auch nicht als Opfer. Das *** war noch als Nutzer eines Netzwerkes zur IP 212.93.31.246 eingetragen. Da hatte 1&1 bzw. Versatel seine RIPE EintrĂ€ge aber nicht auf Stand. Seit 2010 ĂŒbrigens und selbst JETZT noch falsch, wo Versatel das selbst zugegeben hat 😀 Da scheint Datenhygiene keine hohe PrioritĂ€t zu haben 😉

Versatel gab weiterhin an, daß die GesprĂ€che ĂŒber eine Kooperation mit einer auslĂ€ndischen TK Firma reingekommen wĂ€ren. Damit ist eigentlich unzweifelhaft, daß Versatel den falschen Absender durch Numberverification beim Partner hĂ€tte ĂŒberprĂŒfen können, kĂ€me so ein Verfahren bei den Telcos schon zum Einsatz. Im letzten Linux am Dienstag haben wir u.a. darĂŒber diskutiert, wie so eine Lösung aussehen könnte.

GĂ€be es schon so eine Lösung, wĂŒrden diese Anrufe aufhören bzw. eindĂ€mmbar sein, weil die Absendenummer nicht mehr gefĂ€lscht werden könnte. Anrufe kĂ€mmen dann vom (echten) Inhaber einer Nummer, oder von einem gehackten SIP Zugang. In beiden FĂ€llen könnte die Nummer dann leicht geblockt werden und weitere Anrufe unterbunden werden. Das geht z.Z. nicht, weil die Anrufer Ihre Nummer nach belieben auswĂŒrfeln können.

Wer davon auch die Schnauze voll hat, kann sich bei mir melden. Ich suche jetzt einen Anwalt mit dem wir das notfalls bis vor den EuGH bringen. Es ist mir egal, ob internationale Abkommen das fĂŒr OK befinden, oder VertrĂ€ge zwischen Telkos das bislang anders regeln. Fakt ist: Das muß aufhören. Es kann nur aufhören, wenn wir den Telkos die Grundlage dafĂŒr entziehen und das geht nur per Gerichtsbeschluss und/oder Gesetz.

VorgÀnger-Artikel:

„Hello, you reached Interpol, how can we…“ *click*