Cyberkriminelle könnten Systeme mit Hilfe der Softwarebibliothek für verschlüsselte Verbindungen OpenSSL angreifen. Der Bedrohungsgrad ist allerdings mäßig.
Nutzer die verschlüsselte Verbindungen mit OpenSSL generieren, sollten die Software zur Sicherheit auf den neuesten Stand bringen und gegebenenfalls ein Update installieren. Die meisten der behobenen Schwachstellen wurden mit dem Bedrohungsgrad „moderat“ bewertet.
Mehrere Sicherheitslücken
In einer herausgegebenen Warnmeldung werden von Entwicklern acht Sicherheitslücken genannt. Am gefährlichsten ist eine Lücke im Zusammenhang mit der Validierung von Zertifikaten. Die Schwachstelle wird unter der Bezeichnung CVE-2023-0286 aufgelistet und mit einem hohen Bedrohungsgrad bewertet. Angesichts eines Fehlers kann es bei der Verarbeitung von X.509-Zertifikaten mit X.400-Adressen zu Schwierigkeiten kommen. Dieser Fall tritt allerdings nur bei bestimmten Applikationen ein, bei denen die Funktion Check für Certificate Revocation List (CRL) aktiviert ist.
Für eine erfolgreiche Cyberattacke müssen potenzielle Angreifer meist die Zertifikatskette und CRL angeben. Des Weiteren sind von der Sicherheitslücke hauptsächlich Systeme betroffen, die eine eigene individuelle Funktion zum Abruf von CRLs über ein entsprechendes Netzwerk implementiert haben. Demzufolge sind nur spezielle Applikationen wie beispielsweise VPN-Einwahl-Systeme gefährdet. Ist ein Cyberangriff erfolgreich, können Kriminelle auf Speicherorte zugreifen oder DoS-Zustände erzeugen.
Die verbleibenden Sicherheitslücken betreffen beispielsweise fehlerhafte Prüfungen von Public Keys (DAS) oder PKCS7-Daten. Hier können Angreifer wiederum DoS-Attacken einsetzen.
Verfügbare Patches
Um die Systeme zu sichern, haben Entwickler entsprechende Versionen bereitgestellt, die gegen die Cyberangriffe geschützt sind:
- OpenSSL 1.0.2zg (nur für Premium-Kunden)
- OpenSSL 1.1.1t
- OpenSSL 3.0.8