Sicherheitslücke: Präparierte TLS-Zertifikate können OpenSSL-Systeme gefährden
(Bild: wk1003mike/Shutterstock.com)
Angreifer könnten Clients und Server mit präparierten TLS-Zertifikaten auf Basis von elliptischen Kurven lahmlegen.
Die freie Software für Transportverschlüsselung auf TLS-Basis OpenSSL ist verwundbar. Bei der Verarbeitung von bestimmten TLS-Zertifikaten kann es zu Fehlern kommen. Aktualisierte Versionen schaffen Abhilfe.
In einer Warnmeldung schreiben die Entwickler [1] von einem Infinite-loop-Fehler in der BN-mod-sqrt()-Funktion. Darüber sollen Angreifer Clients und Server in einen DoS-Zustand versetzen und somit lahmlegen können.
Damit das klappt, müssen sie dafür sorgen, dass Server von ihnen präparierte TLS-Zertifikate oder private Schlüssel mit elliptischen Kurven verarbeiten. Das könnte etwa eintreten, wenn ein Client oder Hosting Provider so ein Zertifikat oder Schlüssel serviert bekommt.
Jetzt patchen!
Die Sicherheitslücke (CVE-2022-0778) ist mit dem Bedrohungsgrad "hoch" eingestuft und wurde von Googles Vorzeige-Sicherheitsforscher Tavis Ormandy entdeckt. Von der Schwachstelle sind den Entwicklern zufolge die OpenSSL-Versionen 1.0.2, 1.1.1 und 3.0 betroffen.
Admins, die OpenSSL einsetzen, sollten zeitnah eine der abgesicherten Ausgaben 1.1.1n oder 3.0.2 installieren. Premium-Support-Kunden bekommen die Ausgabe 1.0.2zd. Für 1.1.0 ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr.
(des [2])
URL dieses Artikels:
https://www.heise.de/-6550820
Links in diesem Artikel:
[1] https://www.openssl.org/news/secadv/20220315.txt
[2] mailto:des@heise.de
Copyright © 2022 Heise Medien