Von Armin Egginger kam der Hinweis auf eine Schwachstelle in der Open SSL Library, für die zu diesem Zeitpunkt noch kein Update zur Verfügung stand (CVE-2024-9143).
Es handelt sich um eine als niedrig eingestufte Schwachstelle, für Out-of-Bounds (OOB)-Speicherzugriffe, die es theoretisch ermöglichen, dass ein Angreifer Zugriff auf sensible Daten erhält.
Open SSL wird auch für die Verschlüsselung der Netzwerkverbindungen zum FileMaker Server eingesetzt. Zudem wird die Library in Linux und zahlreichen anderen Anwendungen verwendet.
Solange noch keine neuere Version der Library verfügbar und im FileMaker Server aktualisiert ist, sollten Verbindungen zu Lösungen mit sensiblen Daten nicht ungesichert übers Internet abrufbar sein. Mögliche Schutzmaßnahme wären, den Zugriff von außen nur über gut gesichertes VPN zuzulassen oder die Anwendung ausschließlich in einer Citrix Umgebung bereit zu stellen.
Open SSL Website: CVE-2024-9143
https://openssl-library.org/news/vulnerabilities/index.html
OpenSSL CHANGES
https://github.com/openssl/openssl/blob/openssl-3.3/CHANGES.md
Heise: Neue OpenSSL-Lücke ist gefährlich, aber sehr schwer auszunutzen
https://www.heise.de/news/Neue-OpenSSL-Luecke-ist-gefaehrlich-aber-sehr-schwer-auszunutzen-9992067.html