Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnieren Sie unseren NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

vom Newsletter abmelden

OpenSSL-Schwachstellen nicht kritisch, schnelles patchen dennoch erforderlich

November 2022 von Dr. Johannes Ullrich, Dean of Research, SANS Technology Institute

OpenSSL hat Version 3.0.7 veröffentlicht, die zwei zusammenhängende, als „hoch“ eingestufte Schwachstellen behebt. Ursprünglich wurde eine der Sicherheitslücken im Rahmen einer Vorankündigung als „kritisch“ eingestuft. OpenSSL 3.0 wurde ursprünglich im September letzten Jahres veröffentlicht.

Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

Das Update behebt eine Pufferüberlaufschwachstelle, die während der Zertifikatsüberprüfung auftritt. Das Zertifikat muss einen bösartigen, in Punycode kodierten Namen enthalten und die Sicherheitslücke wird erst nach der Überprüfung der Zertifikatskette ausgelöst. Ein Angreifer muss zunächst in der Lage sein, ein bösartiges Zertifikat von einer Zertifizierungsstelle signieren zu lassen, der der Client vertraut. Für Server scheint dies kaum ausnutzbar zu sein, es sei denn, sie fordern ein Zertifikat vom Client an (mTLS).
OpenSSL hat hierzu auch einen Blogbeitrag mit weiteren Details veröffentlicht: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

Es handelt sich zwar um eine potenzielle Schwachstelle für die Ausführung von Remotecode, aber die Voraussetzungen für die Auslösung der Schwachstelle sind nicht trivial und diese Schwachstelle kann nicht als „Heartbleed-Notfall“ angesehen werden. IT-Abteilungen sollten dennoch schnell patchen, sobald aktualisierte Pakete verfügbar sind, darüber hinaus besteht kein unmittelbarer Handlungsbedarf.

Weitere technische Details gibt es hier im Blog: https://isc.sans.edu/diary/rss/29208


zum vorherigen Artikel

    

zum nächsten Artikel