Die Entwickler von OpenSSL haben eine aktualisierte Version veröffentlicht, in der acht Sicherheitslücken geschlossen wurden. Mit dem Bedrohungsgrad "moderat" wurde der Großteil der Lücken eingestuft.

Das Entwickler-Team listet in einer Warnmeldung acht Schwachstellen auf. Im Kontext der Validierung von Zertifikaten gilt eine Lücke (CVE-2023-0286 "hoch") am gefährlichsten. Bei der Verarbeitung von X.509-Zertifikaten mit X.400-Adressen könnte es aufgrund eines Fehlers zu Problemen kommen. Allerdings ist dies nur bei bestimmten Applikationen der Fall, sofern die Funktion Check für Certificate Revocation List (CRL) aktiv ist.

Laut den Entwicklern muss ein Angreifer für eine erfolgreiche Attacke in den meisten Fällen die Zertifikatskette und CRL bereitstellen. Die Schwachstelle betrifft zudem in erster Linie Systeme, die eigene Funktionen zum Abruf von CRLs über ein Netzwerk implementiert haben. Nur spezielle Applikationen wie VPN-Einwahl-Systeme sind bedroht. Die restlichen Schwachstellen betreffen unter anderem fehlerhafte Überprüfungen von Public Keys (DSA) oder PKCS7-Daten.

Die Versionen OpenSSL 1.0.2zg (nur für Premium-Support-Kunden), OpenSSL 1.1.1t und OpenSSL 3.0.8 sollen die Sicherheitslücken schließen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE