Sicherheitslücke bei OpenSSL

8.11.2022

In den aktuellen Versionen von OpenSSL wurde eine Schwachstelle entdeckt. Die vom OpenSSL-Projekt veröffentlichte Version 3.0.7 vom 2. November 2022 inkludiert den notwendigen Bugfix.

Die OpenSSL-Versionen 3.0.0 bis 3.0.6 sind von diesem Securityhole wie folgt betroffen (CVE-2022-3602, CVE-2022-3786):

Im Parser für X.509-Zertifikate gibt es zwei Buffer-Overflow-Schwachstellen, die sich jeweils durch spezielle E-Mail-Adressen in Zertifikaten auslösen lassen. Um einen Server anzugreifen muss dieser zuvor eine zertifikatsbasierende Client Authentifizierung anfordern (Anm. die ist bei HTTPS nicht sehr weit verbreitet). Um den Fehler an einem Client auszulösen müsste sich dieser mit einem bösartigen Server verbinden. In beiden Fällen erfolgt der gefährliche Pufferüberlauf erst nach der Überprüfung der Vertrauenswürdigkeit des Zertifikats. Das bedeutet, dass ein bösartiges Zertifikat entweder von einer Zertifizierungsstelle unterschrieben sein müsste oder der Client ein bereits als ungültig erkanntes Zertifikat weiter verarbeitet.

Die Lücken erweisen sich nicht so kritisch wie zunächst anzunehmen war. Mit großflächigen Angriffswellen wie bei Heartbleed ist bei diesen Schwachstellen eher nicht zu rechnen. Auch die OpenSSL-Entwickler haben die Einstufung von dieser Sicherheitslücke von "kritisch" auf "hoch" herabgesetzt.

Bitte überprüfen Sie, ob und in welcher Version Sie OpenSSL verwenden und implementieren Sie bei den betroffenen Versionen den Patch.

Weitere Informationen finden Sie im OpenSSL - Blog unter: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

<< zurück