Sicherheitslücken mit Denial of Service-Potential in OpenSSL - Updates verfügbar

16. März 2022

Beschreibung

Das OpenSSL Projekt hat eine Warnung zu potentiellen Endlosschleifen - und damit der Möglichkeit zu Denial of Service-Attacken - in OpenSSL herausgegeben und gleichzeitig entsprechende Updates veröffentlicht.

Dies betrifft sowohl Clients als auch Server, die OpenSSL einsetzen.

CVE-Nummer: CVE-2022-0778

Auswirkungen

 

Angreifer können:

  • Clients entsprechend präparierte Server-Zertifikate präsentieren, wodurch die Clients in eine Endlosschleife gelangen und entsprechend System-Ressourcen gebunden werden
  • Servern entsprechend präparierte Client-Zertifkate präsentieren, wodurch die Server in eine Endlosschleife gelangen und entsprechend System-Ressourcen gebunden werden

Weiters sind Setups verwundbar, die SSL-Zertifikate anderweitig verarbeiten, etwa wenn solche von Kunden hochgeladen werden können oder wenn Certification Requests (etwa von CAs) verarbeitet werden.

 

Betroffene Systeme

 

Systeme, die OpenSSL in den Versionen 1.0.2, 1.1.1 und 3.0 einsetzen.

 

Abhilfe

 

Einspielen der zur Vergügung gestellten Patches. Da damit zu rechnen ist, dass entsprechend präparierte Zertifikate in kurzer Zeit in Umlauf gebracht werden, sollte dies so schnell wie möglich geschehen.

Das OpenSSL Projekt weist weiters darauf hin, dass es für OpenSSL 1.0.2 keine öffentlich verfügbaren Updates mehr gibt und legt hier generell ein Update auf die noch unterstützen Versionen 1.1.1n bzw. 3.0.2 nahe.

 

Hinweis

 

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

 


 

Informationsquelle(n):

 

Advisory von OpenSSL: https://www.openssl.org/news/secadv/20220315.txt