Mehrere OpenSSL-Schwachstellen behoben
Im Jahr 2023 wurden insgesamt 17 Sicherheitslücken in OpenSSL, einer beliebten Kryptographie-Bibliothek, geschlossen. Sie stellen ein erhebliches Risiko dar, da sie erhebliche Verfügbarkeitsunterbrechungen verursachen können. Nach der OpenSSL-Schweregrad-Metrik gibt es Schwachstellen mit hohem, mittlerem und niedrigem Schweregrad.
OpenSSL-Schwachstellen im Jahr 2023
CVE-2023-4807 (08. September 2023)
In der Implementierung des POLY1305 Message Authentication Code (MAC) wurde ein Fehler entdeckt, der den internen Status von Anwendungen auf der Windows 64-Bit-Plattform stören kann, insbesondere wenn diese auf modernen X86_64-Prozessoren laufen, die AVX512-IFMA-Befehle unterstützen. Andere Betriebssysteme sind von dieser Sicherheitslücke nicht betroffen.
CVE-2023-2650 (30. Mai 2023)
Die Verarbeitung bestimmter speziell gestalteter ASN.1-Objektbezeichner oder Daten, die diese enthalten, kann zu erheblichen Leistungseinbußen führen.
Anwendungen, die OBJ_obj2txt() direkt verwenden oder OpenSSL-Subsysteme wie OCSP, PKCS7/SMIME, CMS, CMP/CRMF oder TS ohne Größenbeschränkung der Nachrichten einsetzen, können erhebliche bis sehr große Verzögerungen bei der Verarbeitung dieser Nachrichten erfahren, was zu einem Denial-of-Service-Szenario (DoS) führen kann.
CVE-2023-0464 (21. März 2023)
Es wurde eine Sicherheitslücke entdeckt, die alle derzeit unterstützten Versionen von OpenSSL betrifft. Diese Schwachstelle betrifft die Überprüfung von X.509-Zertifikatsketten, die Policy Constraints enthalten. Angreifer können diese Schwachstelle ausnutzen, indem sie eine bösartige Zertifikatskette erstellen, die einen exponentiellen Verbrauch von Rechenressourcen verursacht, was letztlich zu einem Denial-of-Service (DoS)-Angriff auf anfällige Systeme führt.
CVE-2023-0286 (07. Februar 2023)
Bei der Verarbeitung von X.400-Adressen innerhalb eines X.509 GeneralName wurde eine Schwachstelle festgestellt, die zu einer Typverwechslung führt. In diesem Zusammenhang wurden X.400-Adressen ursprünglich als ASN1_STRING geparst, aber die öffentliche Strukturdefinition für GENERAL_NAME gab den Typ des x400Address-Feldes fälschlicherweise als ASN1_TYPE an. Folglich wird dieses Feld von der OpenSSL-Funktion GENERAL_NAME_cmp als ASN1_TYPE und nicht als ASN1_STRING fehlinterpretiert.
Wenn die CRL-Prüfung aktiviert ist (d.h. wenn die Anwendung das X509_V_FLAG_CRL_CHECK-Flag setzt), hat diese Schwachstelle das Potential, einem Angreifer zu erlauben, beliebige Zeiger für einen memcmp-Aufruf bereitzustellen. Dies wiederum könnte den Angreifer in die Lage versetzen, Speicherinhalte zu lesen oder einen Denial-of-Service-Angriff zu starten.
TuxCare's LibCare für OpenSSL-Sicherheit
LibCare, ein Add-on-Tool für KernelCare Enterprise, bietet Live-Patching-Dienste für gemeinsam genutzte Bibliotheken wie glibc und OpenSSL, die anfällig für Sicherheitsbedrohungen sind.
Da zahlreiche Server auf Linux-basierte Betriebssysteme angewiesen sind, können Sicherheitslücken in kritischen Bibliotheken wie OpenSSL ein erhebliches Risiko darstellen. Gehen Sie keine Kompromisse bei der OpenSSL-Sicherheit ein und stören Sie Ihren Betrieb nicht länger. Mit LibCare von TuxCare können Sie die Sicherheit Ihres Unternehmens durch automatisiertes und unterbrechungsfreies Patching von Bibliotheken verbessern.
Abschließende Überlegungen
OpenSSL-Schwachstellen können böswillig für DoS-Angriffe ausgenutzt werden, was zum Verlust der Systemzugänglichkeit und sogar zur Beeinträchtigung der Systemintegrität führen kann. Um Ihre Systeme vor diesen Bedrohungen zu schützen, ist es unerlässlich, das von OpenSSL bereitgestellte Sicherheitsupdate umgehend zu installieren. Wir raten allen betroffenen Benutzern dringend, die OpenSSL-Updates, die von ihren jeweiligen Distributionen bereitgestellt werden, unverzüglich zu implementieren.
TuxCare hat bereits Patches für die oben erwähnten Sicherheitslücken veröffentlicht. Weitere Informationen finden Sie im CVE Dashboard.
Die Quelle für diesen Artikel finden Sie unter OpenSSL.