Met allerheiligen komt er een CRITICAL update uit om een kritische, nog niet bekende bug in openssl 3.0.6 uit (u weet wel het hart van het leeuwedeel van de internetbeveiliging die encryptie gebruikt).
Werk aan de winkel! Gelukkige is het de nieuwe 3.0 release van openssl die enkel in zeer recente software zoals bv Red Hat Enterprise Linux 9 gebruikt wordt. De meeste van jullie zullen een eerdere, op het eerste zicht niet gecompromiteerde versie gebruiken ( bv 1.1.1)
Dus tijd om te checken welke versies je waar gebruikt (vooral de internet-facing infrastructuur) en patchen indien noodzakelijk (commando: openssl version zou je al veel moeten vertellen)
Al even zelf getest :
- RHEL 8, Rocky Linux 8 en aanverwanten gebruiken versie 1.1.1 ( dus tot nader order OK )
- Mac gebruikt Libressl ( dus tot nader order OK )
- Vmware Vsphere 7 gebruikt een oudere versie van SSL ( dus tot nader order OK)
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html