OpenSSL-Schwachstellen nicht kritisch, schnelles patchen dennoch erforderlich
November 2022 von Dr. Johannes Ullrich, Dean of Research, SANS Technology Institute
OpenSSL hat Version 3.0.7 veröffentlicht, die zwei zusammenhängende, als „hoch“ eingestufte Schwachstellen behebt. Ursprünglich wurde eine der Sicherheitslücken im Rahmen einer Vorankündigung als „kritisch“ eingestuft. OpenSSL 3.0 wurde ursprünglich im September letzten Jahres veröffentlicht.
Das Update behebt eine Pufferüberlaufschwachstelle, die während der Zertifikatsüberprüfung auftritt. Das Zertifikat muss einen bösartigen, in Punycode kodierten Namen enthalten und die Sicherheitslücke wird erst nach der Überprüfung der Zertifikatskette ausgelöst. Ein Angreifer muss zunächst in der Lage sein, ein bösartiges Zertifikat von einer Zertifizierungsstelle signieren zu lassen, der der Client vertraut. Für Server scheint dies kaum ausnutzbar zu sein, es sei denn, sie fordern ein Zertifikat vom Client an (mTLS).
OpenSSL hat hierzu auch einen Blogbeitrag mit weiteren Details veröffentlicht: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
Es handelt sich zwar um eine potenzielle Schwachstelle für die Ausführung von Remotecode, aber die Voraussetzungen für die Auslösung der Schwachstelle sind nicht trivial und diese Schwachstelle kann nicht als „Heartbleed-Notfall“ angesehen werden. IT-Abteilungen sollten dennoch schnell patchen, sobald aktualisierte Pakete verfügbar sind, darüber hinaus besteht kein unmittelbarer Handlungsbedarf.
Weitere technische Details gibt es hier im Blog: https://isc.sans.edu/diary/rss/29208