Seite 1 von 1
Update vom ACMP Client wegen CVE-2022-1292?
Verfasst: Mo Jun 13, 2022 2:03 pm
von Gerundt
Hallo zusammen,
seit einem Monat sind sämtliche Clients im
Schwachstellen Management rot, weil der ACMP Client selbst die OpenSSL-Schwachstelle
CVE-2022-1292 enthält.
Gibt es bald mal ein Update? Will mal wieder andere Farben als
rot sehen.
Re: Update vom ACMP Client wegen CVE-2022-1292?
Verfasst: Mo Jun 13, 2022 2:23 pm
von FBiehn
Tatsächlich müsste man sagen, dass dies ein false positive ist: CVE-2022-1292 handelt doch von einem Script, welches manche OS (Linuxe) mit liefern und automatisch ausführen. ACMP hat dieses Script gar nicht.
In 1.1.1o wurden noch paar weitere Sachen gefixt:
* CVE-2022-1343 -> Betraf nur OpenSSL 3.0, ACMP nutzt aber noch OpenSSL 1.1.1
* CVE-2022-1434 -> OpenSSL musste mit "und füg auch die extrem schwachen Cryptos mit hinzu, welche niemand mehr nutzen sollte" Option kompiliert sein, was die Version, welche ACMP nutzt, aber nicht wurde. Dies betrifft RC4-MD5 cipher... Betraf aber auch nur OpenSSL 3.0
* CVE-2022-1473 -> Betraf auf nur OpenSSL 3.0
Und das wars. Es gibt also mit der Version von ACMP zum Glück kein wirkliches Problem.
Aber für das ruhige Gewissen dort kein Rot mehr zu sehen, wäre ein Update definitiv hilfreich.
Re: Update vom ACMP Client wegen CVE-2022-1292?
Verfasst: Mo Jun 13, 2022 2:26 pm
von Gerundt
FBiehn hat geschrieben: ↑Mo Jun 13, 2022 2:23 pm
Aber für das ruhige Gewissen dort kein Rot mehr zu sehen, wäre ein Update definitiv hilfreich.
Und es gehen keine Clients unter, die wirklich ein dickes Problem haben!