Sicherheitslücke: Präparierte TLS-Zertifikate können OpenSSL-Systeme gefährden

Sicherheitslücke: Präparierte TLS-Zertifikate können OpenSSL-Systeme gefährden

Die freie Software für Transportverschlüsselung auf TLS-Basis OpenSSL ist verwundbar. Bei der Verarbeitung von bestimmten TLS-Zertifikaten kann es zu Fehlern kommen. Aktualisierte Versionen schaffen Abhilfe.

In einer Warnmeldung schreiben die Entwickler von einem Infinite-loop-Fehler in der BN-mod-sqrt()-Funktion. Darüber sollen Angreifer Clients und Server in einen DoS-Zustand versetzen und somit lahmlegen können.

Damit das klappt, müssen sie dafür sorgen, dass Server von ihnen präparierte TLS-Zertifikate oder private Schlüssel mit elliptischen Kurven verarbeiten. Das könnte etwa eintreten, wenn ein Client oder Hosting Provider so ein Zertifikat oder Schlüssel serviert bekommt.

Die Sicherheitslücke (CVE-2022-0778) ist mit dem Bedrohungsgrad „hoch“ eingestuft und wurde von Googles Vorzeige-Sicherheitsforscher Tavis Ormandy entdeckt. Von der Schwachstelle sind den Entwicklern zufolge die OpenSSL-Versionen 1.0.2, 1.1.1 und 3.0 betroffen.

Admins, die OpenSSL einsetzen, sollten zeitnah eine der abgesicherten Ausgaben 1.1.1n oder 3.0.2 installieren. Premium-Support-Kunden bekommen die Ausgabe 1.0.2zd. Für 1.1.0 ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr.


(des)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.