OpenCA akzeptiert falsche Zertifikate
Im OpenCA PKI Development Project ist ein Fehler vorhanden durch den Zertifikate anderer PKIs als Zertifikate der eigenen PKI erkannt werden.
CERT/CC hat in einer Vulnerability Note darauf hingewiesen, dass im OpenCA PKI Development Project ein Fehler vorhanden ist, durch den Zertifikate anderer PKIs (B) als Zertifikate der eigenen PKI (A) erkannt werden. Um zu prüfen, ob das Zertifikat eines Unterzeichners gültig ist, vergleicht die Funktion crypto-utils.lib dieses mit Einträgen in der eigenen Datenbank. Allerdings validiert sie dazu nur die Seriennummern der Zertifikate, nicht jedoch aus welcher Zertifikatskette sie stammen.
Gilt die fremde Kette (Certificate Chain) als vertrauenswürdig und ist bereits ein Zertifikat mit dieser Seriennummer vorhanden, so kann ein Angreifer in PKI B ein neues Zertifikat mit gleicher Seriennummer erstellen und sich damit gegenüber Systemen authentifizieren, die PKI A verwenden.
Betroffen ist OpenCA bis einschließlich Version 0.9.1.6, der Fehler ist in Version 0.9.1.7 behoben. Ein Patch ist im Advisory von OpenCA aufgeführt.
Siehe dazu auch: (dab)
- Fehlerbericht von OpenCA
- Vulnerability Note von CERT/CC
