Sicherheitspatches: OpenSSL für Schadcode-Attacken anfällig
In aktuellen OpenSSL-Versionen haben die Entwickler drei Sicherheitslücken geschlossen. Bislang gibt es keine Berichte zu Attacken.
(Bild: Artur Szczybylo/Shutterstock.com)
Angreifer können Systeme mit OpenSSL attackieren und unter bestimmten Voraussetzungen private Schlüssel wiederherstellen. Außerdem kann Schadcode auf PCs gelangen. Dagegen gerüstete Versionen stehen zum Download bereit.
Mit der freien OpenSSL-Software realisiert man unter anderem verschlüsselte Internetverbindungen auf TLS-Basis.
Mehrere Sicherheitsprobleme
In einer Warnmeldung listen die Entwickler die Softwareschwachstellen auf. Am gefährlichsten gilt eine Lücke mit der Kennung CVE-2025-9230 und dem Bedrohungsgrad "hoch". Dabei kann es bei der Entschlüsselung von bestimmten CMS-Nachrichten zu Fehlern kommen, was zu Speicherfehlern (out-of-bounds) führt. Das resultiert in Abstürzen (DoS) oder es kann sogar zur Ausführung von Schadcode kommen.
Die zweite Sicherheitslücke (CVE-2025-9231 "mittel") betrifft ausschließlich 64-Bit-ARM-Plattformen. Dort können entfernte Angreifer mit einer Timing-Side-Channel-Attacke im Kontext von SM2-Signaturen private Schlüssel rekonstruieren.
Videos by heise
Die dritte Schwachstelle (CVE-2025-9232 "mittel") kann zu DoS-Zuständen führen. Um die geschilderten Attacken vorzubeugen, sollten Admins zeitnah eine der abgesicherten Versionen installieren:
- OpenSSL 1.0.2zm (Premium-Support)
- OpenSSL 1.1.1zd (Premium-Support)
- OpenSSL 3.0.18
- OpenSSL 3.2.6
- OpenSSL 3.3.5
- OpenSSL 3.4.3
- OpenSSL 3.5.4
(des)
