Alert!

Sicherheitslücke: Präparierte TLS-Zertifikate können OpenSSL-Systeme gefährden

Angreifer könnten Clients und Server mit präparierten TLS-Zertifikaten auf Basis von elliptischen Kurven lahmlegen.

In Pocket speichern vorlesen Druckansicht 33 Kommentare lesen

(Bild: wk1003mike/Shutterstock.com)

Lesezeit: 1 Min.

Die freie Software für Transportverschlüsselung auf TLS-Basis OpenSSL ist verwundbar. Bei der Verarbeitung von bestimmten TLS-Zertifikaten kann es zu Fehlern kommen. Aktualisierte Versionen schaffen Abhilfe.

In einer Warnmeldung schreiben die Entwickler von einem Infinite-loop-Fehler in der BN-mod-sqrt()-Funktion. Darüber sollen Angreifer Clients und Server in einen DoS-Zustand versetzen und somit lahmlegen können.

Damit das klappt, müssen sie dafür sorgen, dass Server von ihnen präparierte TLS-Zertifikate oder private Schlüssel mit elliptischen Kurven verarbeiten. Das könnte etwa eintreten, wenn ein Client oder Hosting Provider so ein Zertifikat oder Schlüssel serviert bekommt.

Die Sicherheitslücke (CVE-2022-0778) ist mit dem Bedrohungsgrad "hoch" eingestuft und wurde von Googles Vorzeige-Sicherheitsforscher Tavis Ormandy entdeckt. Von der Schwachstelle sind den Entwicklern zufolge die OpenSSL-Versionen 1.0.2, 1.1.1 und 3.0 betroffen.

Admins, die OpenSSL einsetzen, sollten zeitnah eine der abgesicherten Ausgaben 1.1.1n oder 3.0.2 installieren. Premium-Support-Kunden bekommen die Ausgabe 1.0.2zd. Für 1.1.0 ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr.

(des)