Sicherheitslücken mit Denial of Service-Potential in OpenSSL - Updates verfügbar
16. März 2022
Beschreibung
Das OpenSSL Projekt hat eine Warnung zu potentiellen Endlosschleifen - und damit der Möglichkeit zu Denial of Service-Attacken - in OpenSSL herausgegeben und gleichzeitig entsprechende Updates veröffentlicht.
Dies betrifft sowohl Clients als auch Server, die OpenSSL einsetzen.
CVE-Nummer: CVE-2022-0778
Auswirkungen
Angreifer können:
- Clients entsprechend präparierte Server-Zertifikate präsentieren, wodurch die Clients in eine Endlosschleife gelangen und entsprechend System-Ressourcen gebunden werden
- Servern entsprechend präparierte Client-Zertifkate präsentieren, wodurch die Server in eine Endlosschleife gelangen und entsprechend System-Ressourcen gebunden werden
Weiters sind Setups verwundbar, die SSL-Zertifikate anderweitig verarbeiten, etwa wenn solche von Kunden hochgeladen werden können oder wenn Certification Requests (etwa von CAs) verarbeitet werden.
Betroffene Systeme
Systeme, die OpenSSL in den Versionen 1.0.2, 1.1.1 und 3.0 einsetzen.
Abhilfe
Einspielen der zur Vergügung gestellten Patches. Da damit zu rechnen ist, dass entsprechend präparierte Zertifikate in kurzer Zeit in Umlauf gebracht werden, sollte dies so schnell wie möglich geschehen.
Das OpenSSL Projekt weist weiters darauf hin, dass es für OpenSSL 1.0.2 keine öffentlich verfügbaren Updates mehr gibt und legt hier generell ein Update auf die noch unterstützen Versionen 1.1.1n bzw. 3.0.2 nahe.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Advisory von OpenSSL: https://www.openssl.org/news/secadv/20220315.txt