Vorhängeschloss

OpenSSL Lücke nicht so gravierend wie angenommen

Wie bereits gestern berichtet, wurde am Nachmittag OpenSSL 3.0.7 veröffentlicht. Die neue Version der Kryptobibliothek OpenSSL schließt unter anderem eine Sicherheitslücke, die mit dem Schweregrad kritisch ausgewiesen war. Die Entwickler hatten im Vorfeld keinerlei Informationen herausgegeben, außer dass nur Versionen >= 3.0 betroffen seien.

Buffer-Overflow im X.509-Parser

Die geschlossenen Lücken sind als CVE-2022-3786 und CVE-2022-3602 katalogisiert. Die ursprünglich mit dem Schweregrad kritisch ausgewiesene Lücke CVE-2022-3786 war während der Evaluierung auf den Schweregrad hoch zurückgestuft worden, da die zunächst vermutete Möglichkeit der Ausführung von Code aus der Ferne nur schwierig zu bewerkstelligen ist.

Bei den geschlossenen Lücken handelt es sich um zwei Buffer-Overflow-Schwachstellen im X.509-Parser, wobei die Lücken durch manipulierte E-Mail-Adressen in den Zertifikaten ausgenutzt werden können. Die Sicherheitslücken betreffen sowohl Client- als auch Server-Anwendungen, die OpenSSL nutzen. Der die Lücken definierende Code wird aber erst nach der Prüfung der Signaturen der Zertifikate ausgeführt, was unter anderem zur Herabstufung der Schwere der Lücken führte.

Schweregrad herabgestuft

Die Entwickler erklärten ihre anfängliche Einschätzung von kritisch in einem OpenSSL-Advisory damit, dass sie nur Quellcode ausliefern und nicht wissen, wie sich Distributionen und andere Plattformen durch Stack-Overflow-Protection schützen, sodass die Ausführung von Remote-Code auf einigen Plattformen weiterhin möglich sein könnte. Da die Gefahr der »Remotecode-Ausführung in häufigen Situationen« aber nicht mehr als wahrscheinlich angesehen wird, erfolgte die Herabstufung.

Aktualisierte Pakete

Einige Distributionen liefern bereits aktualisierte Pakete aus, darunter Alpine Linux Debian Testing und Unstable, Devuan Unstable Gentoo und Red Hat. Debian Stable ist nicht betroffen, da hier noch das bis September 2023 unterstützte OpenSSL 1.1.1 ausgeliefert wird. Aktualisierte Pakete der Distributionen sollten zeitnah eingespielt werden.

Foto: David Clode on Unsplash

Teilt den Beitrag, falls ihr mögt

Vielleicht gefällt Dir auch

2 Kommentare
Newest
Oldest Most Voted
Inline Feedbacks
View all comments