Verschlüsselung: TLS-1.3-Fauxpas gefährdet Embedded-Systeme mit wolfSSL
Aus Sicherheitsgründen sollten Admins die TLS-Programmbibliothek wolfSSL auf den aktuellen Stand bringen.
(Bild: Artur Szczybylo/Shutterstock.com)
Wer auf Embedded-Systemen zur Transportverschlüsselung die Programmbibliothek wolfSSL mit dem aktuellen Standard TLS 1.3 einsetzt, kann sich einen Lauscher in der Verbindung einfangen. Der Softwarehersteller stuft das Risiko als "hoch" ein.
Auf ihrer Website zu Sicherheitsproblemen geben die Entwickler an, die Sicherheitslücke (CVE-2020-24613) in wolfSSL 4.5.0 geschlossen zu haben. Wer TLS 1.3 nicht einsetzt, ist nicht gefährdet.
Spionage möglich
Ist der Standard hingegen aktiv, könnte sich ein Angreifer in einer nicht näher beschriebenen privilegierten Netzwerk-Position als TLS-1.3-Server ausgeben und die Authentifizierung umgehen. So könnte sich ein Angreifer als Man-in-the-Middle in eine Verbindung zwischen Server und Client einklinken und Informationen mitschneiden oder sogar verändern.
Einer Beschreibung der Sicherheitslücke zufolge, kommt es während des WAIT_CERT_CR-Status zu einer fehlerhaften Verarbeitung von Serverdaten. Das deutet auf eine nicht korrekte Implementierung von TLS 1.3 hin. (des)
