OpenSSL: Präparierte Zertifikate legen Server und Clients lahm

Die Verschlüsselungs-Software OpenSSL scheint über eine gefährliche Schwachstelle zu verfügen. Mit Hilfe präparierter OpenSSL-Zertifikate ist es möglich, Server und Clients anzugreifen. Die Entwickler haben bereits neue Versionen, die den Bug beseitigen, zur Verfügung gestellt. Einer Warnung der OpenSSL-Entwickler zufolge können Server und Clients in eine Endlosschleife gelangen, wenn bestimmte TLS-Zertifikate geladen werden. Der Fehler befindet sich in der BN-mod-sqrt()-Funktion und sorgt dafür, dass Hacker einen DOS-Angriff starten können. Hierzu müssen TLS-Zertifikate oder private Schlüssel mit elliptischen Kurvenparametern verwendet werden. Ob der Bug schon aktiv in der Praxis ausgenutzt wird, ist unklar.

Obwohl DOS-Angriffe Serverausfälle verursachen können, ist es mit der Lücke nicht möglich, weitreichende Schäden anzurichten. Es handelt sich nicht um eine Schwachstelle, mit der es möglich ist, Schadcode auf fremden Systemen auszuführen. Trotzdem können Server lahmgelegt und damit finanzielle Schäden verursacht werden. Die Sicherheitslücke hat die Bezeichnung CVE-2022-0788 erhalten und wurde mit dem Bedrohungsgrad "hoch" eingestuft. Der Bug wurde ursprünglich vom Google-Sicherheitsforscher Tavis Ormandy entdeckt.

Admins sollten ihre Software aktualisieren

Wer OpenSSL verwendet, sollte die installierte Software schnellstmöglich aktualisieren. Neben der Ausgabe 1.1.1n soll auch die Version 3.0.2 sicher sein. Kunden mit Premium-Support können die Ausgabe 1.0.2zd herunterladen. Von dem Problem ist auch die OpenSSL-Version 1.1.0 betroffen. Die Builds werden jedoch nicht mehr mit Updates versorgt. Da OpenSSL in vielen Programmen zum Einsatz kommt, dürften zahlreiche Apps gefährdet sein. Die Entwickler sollten daher zeitnah reagieren und Aktualisierungen bereitstellen.

Siehe auch: