Neue OpenSSL-Lücke ist gefährlich, aber sehr schwer auszunutzen
Während SuSE und BSI ein hohes Risiko sehen, verweist das OpenSSL-Projekt auf umfangreiche Vorbedingungen eines Exploits. Vorerst kommen keine Updates.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Sicherheitslücken in der Bibliothek OpenSSL betreffen meist das gesamte Internet. Schließlich dient die Sammlung von Verschlüsselungsfunktionen vielen Anwendungen als Grundlage für Protokolle wie HTTPS. Dass das Projekt für eine Sicherheitslücke mit Potenzial zur Code-Ausführung vorerst keine Patches veröffentlicht, lässt aufhorchen. Tatsächlich haben die Entwickler gute Gründe – die Warnungen anderer Sicherheitsteams sind hingegen aus formalen Gründen alarmistischer.
Der Sicherheitshinweis des OpenSSL-Entwicklerteams, der kürzlich auf verschiedenen Mailinglisten auftauchte, las sich wie ein Routinefall. Durch die Wahl bestimmter Parameter bei der Verschlüsselung mit einer speziellen Gruppe elliptischer Kurven entsteht unter Umständen ein Szenario, in dem unzulässige Lese- und Schreiboperationen im Hauptspeicher zu Abstürzen führen können. Auch die Ausführung von Schadcode können die OpenSSL-Entwickler nicht ausschließen.
Risiko hoch, niedrig, oder was?!
Das Risiko der Lücke mit der CVE-ID CVE-2024-9143 schätzten sie als niedrig ein, weil der Fehler schwierig auszunutzen sei. Nur Anwendungen, die exotische Parameter für die elliptische Kurve (GF(2m)) aus Nutzereingaben verwenden, sind theoretisch angreifbar – das OpenSSL-Team sah daher davon ab, Notfallpatches für die Lücke zu veröffentlichen. Sie besteht in den OpenSSL-Versionen 3.3, 3.2, 3.1., 3.0, 1.1.1 und 1.0.2 und soll in den bisher nicht erschienenen Versionen 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb und 1.0.2zl behoben werden.
Sowohl der Linux-Distributor SuSE als auch das Computer Emergency Response Team für Bundesbehörden (CERT-Bund) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzten die Risiken jedoch anders ein: SuSE vergab einen CVSS-Wert von 7 (Risiko: mittel), CERT-Bund schloss sich in einer Neubewertung des Risikos diesem Wert an. Auf die Diskrepanz angesprochen, erklärte Johannes Segitz aus dem SuSE-Sicherheitsteam gegenüber heise Security, die CVSS-Skala tue sich mit der Angriffswahrscheinlichkeit schwer. Sie gehe stets von einem Worst-Case-Szenario aus, was den hohen Punktwert erkläre.
Tomas Mraz vom OpenSSL-Entwicklerteam äußerte sich auf Nachfrage ähnlich: Zwar seien die Auswirkungen der Sicherheitslücke schwer, aber es sei extrem unwahrscheinlich, dass eine Anwendung angreifbar sei. Beim OpenSSL-Projekt wisse man von keinem einzigen verwundbaren Programm. So käme die Risikobewertung zustande – das CVSS-System könne diese Überlegungen schlicht nicht abbilden.
CERT-Bund erläuterte gegenüber heise security, dass man anhand des OpenSSL-Advisories zunächst höhere Auswirkungen auf die Vertraulichkeit und Integrität betroffener Anwendungen befürchtet und daher einen höheren Wert von 8,1 Punkten vergeben hatte. In einer Neubewertung am 24. Oktober senkte das bundeseigene Sicherheits-Notfallteam jedoch den Risikowert auf 7,0 und somit ein mittleres Risiko.
CERT-Bund hat heise security die Punktvergabe erläutert und den Punktwert mittlerweile auf 7,0 gesenkt. Wir haben die entsprechenden Passagen aktualisiert.
(cku)
