OpenCA akzeptiert falsche Zertifikate
Im OpenCA PKI Development Project ist ein Fehler vorhanden durch den Zertifikate anderer PKIs als Zertifikate der eigenen PKI erkannt werden.
CERT/CC hat in einer Vulnerability Note darauf hingewiesen, dass im OpenCA PKI Development Project ein Fehler vorhanden ist, durch den Zertifikate anderer PKIs (B) als Zertifikate der eigenen PKI (A) erkannt werden. Um zu prüfen, ob das Zertifikat eines Unterzeichners gültig ist, vergleicht die Funktion crypto-utils.lib dieses mit Einträgen in der eigenen Datenbank. Allerdings validiert sie dazu nur die Seriennummern der Zertifikate, nicht jedoch aus welcher Zertifikatskette sie stammen.
Gilt die fremde Kette (Certificate Chain) als vertrauenswĂĽrdig und ist bereits ein Zertifikat mit dieser Seriennummer vorhanden, so kann ein Angreifer in PKI B ein neues Zertifikat mit gleicher Seriennummer erstellen und sich damit gegenĂĽber Systemen authentifizieren, die PKI A verwenden.
Betroffen ist OpenCA bis einschlieĂźlich Version 0.9.1.6, der Fehler ist in Version 0.9.1.7 behoben. Ein Patch ist im Advisory von OpenCA aufgefĂĽhrt.
Siehe dazu auch: (dab)
- Fehlerbericht von OpenCA
- Vulnerability Note von CERT/CC
