Sicherheitslücke bei OpenSSL

8.11.2022

 

In den aktuellen Versionen von OpenSSL wurde eine Schwachstelle entdeckt. Die vom OpenSSL-Projekt veröffentlichte Version 3.0.7 vom 2. November 2022 inkludiert den notwendigen Bugfix.

Die OpenSSL-Versionen 3.0.0 bis 3.0.6 sind von diesem Securityhole wie folgt betroffen (CVE-2022-3602, CVE-2022-3786):

Warnschild Achtung mit Rufzeichen
Im Parser für X.509-Zertifikate gibt es zwei Buffer-Overflow-Schwachstellen, die sich jeweils durch spezielle E-Mail-Adressen in Zertifikaten auslösen lassen. Um einen Server anzugreifen muss dieser zuvor eine zertifikatsbasierende Client Authentifizierung anfordern (Anm. die ist bei HTTPS nicht sehr weit verbreitet). Um den Fehler an einem Client auszulösen müsste sich dieser mit einem bösartigen Server verbinden. In beiden Fällen erfolgt der gefährliche Pufferüberlauf erst nach der Überprüfung der Vertrauenswürdigkeit des Zertifikats. Das bedeutet, dass ein bösartiges Zertifikat entweder von einer Zertifizierungsstelle unterschrieben sein müsste oder der Client ein bereits als ungültig erkanntes Zertifikat weiter verarbeitet.

Die Lücken erweisen sich nicht so kritisch wie zunächst anzunehmen war. Mit großflächigen Angriffswellen wie bei Heartbleed ist bei diesen Schwachstellen eher nicht zu rechnen. Auch die OpenSSL-Entwickler haben die Einstufung von dieser Sicherheitslücke von "kritisch" auf "hoch" herabgesetzt.

Bitte überprüfen Sie, ob und in welcher Version Sie OpenSSL verwenden und implementieren Sie bei den betroffenen Versionen den Patch.

Weitere Informationen finden Sie im OpenSSL - Blog unter: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

 

Beitrag drucken
 
 

 

Siedl Networks GmbH

Dr.-Franz-Wilhelm-Straße 2
3500 Krems an der Donau

T: +43 2732 71545-0
office@siedl.net
support@siedl.net
 
Unsere Bürozeiten:

Montag bis Freitag:
08:00 Uhr - 12:00 Uhr
13:00 Uhr - 16:45 Uhr


Siedl Networks GmbH

Dr.-Franz-Wilhelm-Straße 2
3500 Krems an der Donau

T: +43 2732 71545-0
office@siedl.net
support@siedl.net
 

Unsere Bürozeiten:

Montag bis Freitag:
08:00 Uhr - 12:00 Uhr
13:00 Uhr - 16:45 Uhr

 

Person Icon

Für Fragen steht Ihnen unser Team zur Verfügung.

mail
Telefon: +43 2732 71545-0

 +43 2732 71545-0 

facebook
teamviewer support

 +43 2732 71545-0