CVE-2022-2274: OpenSSL 3.0.4 

wird in den aktuellen RedHat 9 und Oracle Linux 9 Distributionen eingesetzt. 

Die Lücke ermöglicht das einschmuggeln von Code auf Grund eines Fehlers in der RSA-Implementierung für Prozessoren mit AVX-512 IFMA Befehlssatzerweiterung. Das betrifft nur aktuelle Intel CPUs (Canon Lake, Ice Lake, Rocket Lake, Tiger Lake und die aktuellen CPUs der Alder Lake-Serie) sowie AMDs Zen4 CPUs.

Sobald verfügbar sollte man auf OpenSSL 3.0.5 aktualisieren.

CVE-2022-2097: OpenSSL 1.1.1 und 3.0

Leider ist bei dieser Lücke auch OpenSSL 1.1.1 betroffen, das von RedHat/Oracle Linux 7/8 genutzt wird.

Hier versteckt sich der Fehler in der Implementierung von AES-Verschlüsselung bei 32-Bit x86 Prozessoren. Da diese (zum Glück) kaum noch in Verwendung sind, hält sich die  davon ausgehende Gefahr in Grenzen.

Es gibt aber auch, so bald möglich auf OpenSSL 1.1.1q bzw. 3.0.5 zu aktualisieren.