Sicherheitsupdate: Acht Sicherheitslücken in OpenSSL geschlossen
Angreifer könnten Systeme mit der Softwarebibliothek für verschlüsselte Verbindungen OpenSSL attackieren. Der Bedrohungsgrad hält sich aber in Grenzen.
(Bild: Photon photo/Shutterstock.com)
Wer verschlüsselte Verbindungen mit OpenSSL realisiert, sollte die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Der Großteil der geschlossenen Sicherheitslücken ist mit dem Bedrohungsgrad "moderat" eingestuft.
Die Lücken
In einer Warnmeldung listen die Entwickler acht Schwachstellen auf. Am gefährlichsten gilt eine Lücke (CVE-2023-0286 "hoch") im Kontext der Validierung von Zertifikaten. Aufgrund eines Fehlers könnte es bei der Verarbeitung von X.509-Zertifikaten mit X.400-Adressen zu Problemen kommen. Das ist aber nur bei bestimmten Applikationen der Fall, wenn die Funktion Check für Certificate Revocation List (CRL) aktiv ist.
Für eine erfolgreiche Attacke muss ein Angreifer den Entwicklern zufolge in den meisten Fällen die Zertifikatskette und CRL bereitstellen. Außerdem betrifft die Schwachstelle in erster Linie Systeme, die eigene Funktionen zum Abruf von CRLs über ein Netzwerk implementiert haben. Dementsprechend sind nur spezielle Applikationen wie VPN-Einwahl-Systeme bedroht. Ist eine Attacke erfolgreich, können Angreifer auf Speicherbereiche zugreifen oder DoS-Zustände erzeugen.
Die verbleibenden Schwachstellen betreffen unter anderem fehlerhafte Überprüfungen von Public Keys (DSA) oder PKCS7-Daten. Hier könnten Angreifer ebenfalls für DoS-Attacken ansetzen.
Die Patches
Um Systeme abzusichern, stellen die Entwickler die folgenden gegen die Attacken abgesicherten Version zur Verfügung:
- OpenSSL 1.0.2zg (nur für Premium-Support-Kunden)
- OpenSSL 1.1.1t
- OpenSSL 3.0.8
Siehe auch:
- OpenSSL bei heise Download
(des)
