OpenSSL: Update zum Schließen der kritischen Sicherheitslücke verfügbar

Ab sofort liegt die OpenSSL-Bibliothek in der angekündigten, aktualisierten Fassung vor. Die Entwickler haben darin zunächst als kritisch eingestufte Sicherheitslücken geschlossen, die in üblichen Konfigurationen auftreten solle und sich leicht von Angreifern missbrauchen ließe. IT-Verantwortliche mit verwundbaren Systemen sollten zügig die aktuelle Software herunterladen und installieren.

OpenSSL 3.0.7 schließt die Sicherheitslücke, die in den Versionen 3.0.0 bis 3.0.6 klafft. Versionen vor OpenSSL 3.0.0, das im September 2021 erschien, sind von der Schwachstelle nicht betroffen. Administratoren der aktuellen Version 1.1.1 oder 1.0.2 der OpenSSL-Bibliothek müssen daher nicht aktiv werden.

Zwei Lücken im X.509-Parser

Gemäß dem Advisory finden sich im Parser für X509-Zertifikate zwei Buffer-Overflow-Schwachstellen, die sich jeweils durch spezielle E-Mail-Adressen in Zertifikaten auslösen lassen (CVE-2022-3602, CVE-2022-3786). Um einen Server anzugreifen, muss dieser zuvor zertifikatsbasierte Client Authentification anfordern, was bei HTTPS nicht weitverbreitet ist. Um den Fehler in einem Client auszulösen, muss dieser sich zunächst mit einem bösartigen Server verbinden.

In beiden Fällen erfolgt der gefährliche Pufferüberlauf erst nach der Überprüfung der Vertrauenswürdigkeit des Zertifikats. Das bedeutet, dass ein bösartiges Zertifikat entweder von einer Zertifizierungsstelle unterschrieben sein müsste oder der Client auch bereits als ungültig erkannte Zertifikate weiter untersucht. Welche Client-Software das so handhabt, werden wohl erst die Advisories der jeweiligen Hersteller (bzw. entsprechende Analysen Dritter) zeigen.

Insgesamt erweisen sich die Lücken, damit als nicht so kritisch wie zunächst anzunehmen war. Mit großflächigen Angriffswellen wie bei Heartbleed ist bei diesen Schwachstellen eher nicht zu rechnen, weil jeweils mehrere Faktoren zusammen kommen müssen. Das schätzen wohl auch die OpenSSL-Entwickler so ein und haben im offiziellen OpenSSL-Advisory die Einstufung von "kritisch" auf "hoch" herabgesetzt.

Die aktualisierten Quellcodes gibt es auf der Webseite des OpenSSL-Projekts zum Herunterladen. Zudem lassen sich die fehlerbereinigten Quellen aus dem GitHub-Repository von OpenSSL klonen. Die Linux-Distributionen dürften aufgrund der Vorankündigung ebenfalls aktualisierte Pakete sehr zeitnah anbieten. Administratoren müssen diese gegebenenfalls mit der Distributions-eigenen Softwareverwaltung suchen, herunterladen und installieren lassen.

Das niederländische Nationaal Cyber Security Centrum (NCSC-NL) pflegt auf GitHub eine ausführliche Liste verwundbarer und nicht verwundbarer Distributionen, an der sich IT-Verantwortliche vorerst orientieren können. Sicherheit über die aktive OpenSSL-Version liefert jedoch erst die konkrete Ausgabe des Befehls openssl version im Terminal.

Heartbleed-Schock

Vor rund acht Jahren sorgte die Heartbleed genannte Sicherheitslücke für ein Beben im Internet: Die OpenSSL-Bibliothek ist faktisch omnipräsent und hat viele Systeme verwundbar gemacht. Es handelte sich um den GAU für die Verschlüsselung im Web – Angreifer konnten Schlüssel für die Verschlüsselung auslesen und somit eigentlich geschützte Kommunikation dechiffrieren.

Da Heartbleed für viele eine Überraschung war, hat sich das OpenSSL-Projekt dazu entschieden, kritische Schwachstellen mit rund einer Woche Vorlaufzeit anzukündigen. Somit können potenziell Betroffene sich vorbereiten, bei Verfügbarkeit die Updates rasch herunterzuladen und zu installieren. So erläutern das zumindest die IT-Sicherheitsexperten des Internet Storm Center in ihrer Vorankündigung.

(dmk)