Technischer Support
Dokumentation
Anmeldung
Kontakt
Im Jahr 2023 wurden insgesamt 17 Sicherheitslücken in OpenSSL, einer beliebten Kryptographie-Bibliothek, geschlossen. Sie stellen ein erhebliches Risiko dar, da sie erhebliche Verfügbarkeitsunterbrechungen verursachen können. Nach der OpenSSL-Schweregrad-Metrik gibt es Schwachstellen mit hohem, mittlerem und niedrigem Schweregrad.
OpenSSL-Schwachstellen im Jahr 2023
CVE-2023-4807 (08. September 2023)
In der Implementierung des POLY1305 Message Authentication Code (MAC) wurde ein Fehler entdeckt, der den internen Status von Anwendungen auf der Windows 64-Bit-Plattform stören kann, insbesondere wenn diese auf modernen X86_64-Prozessoren laufen, die AVX512-IFMA-Befehle unterstützen. Andere Betriebssysteme sind von dieser Sicherheitslücke nicht betroffen.
Hinweis: Einige dieser OpenSSL-Schwachstellen können auch nachgelagerte Auswirkungen auf VPN-Implementierungen haben, z. B. könnte eine openvpn-Schwachstelle ausgenutzt werden, wenn OpenSSL nicht auf dem neuesten Stand ist.
CVE-2023-2650 (30. Mai 2023)
Die Verarbeitung bestimmter speziell gestalteter ASN.1-Objektbezeichner oder Daten, die diese enthalten, kann zu erheblichen Leistungseinbußen führen.
Anwendungen, die OBJ_obj2txt() direkt verwenden oder OpenSSL-Subsysteme wie OCSP, PKCS7/SMIME, CMS, CMP/CRMF oder TS ohne Größenbeschränkungen für Nachrichten einsetzen, können erhebliche bis sehr große Verzögerungen bei der Verarbeitung dieser Nachrichten erfahren, was zu einem Denial-of-Service-Szenario (DoS) führen kann.
CVE-2023-0464 (21. März 2023)
Es wurde eine Sicherheitslücke entdeckt, die alle derzeit unterstützten Versionen von OpenSSL betrifft. Diese Schwachstelle betrifft die Überprüfung von X.509-Zertifikatsketten, die Policy Constraints enthalten. Angreifer können diese Schwachstelle ausnutzen, indem sie eine bösartige Zertifikatskette erstellen, die einen exponentiellen Verbrauch von Rechenressourcen verursacht, was letztlich zu einem Denial-of-Service-Angriff (DoS) auf anfällige Systeme führt.
CVE-2023-0286 (07. Februar 2023)
Bei der Verarbeitung von X.400-Adressen innerhalb eines X.509 GeneralName wurde eine Schwachstelle festgestellt, die zu einer Typverwechslung führt. In diesem Zusammenhang wurden X.400-Adressen ursprünglich als ASN1_STRING geparst, aber die öffentliche Strukturdefinition für GENERAL_NAME gab den Typ des x400Address-Feldes fälschlicherweise als ASN1_TYPE an. Folglich wird dieses Feld von der OpenSSL-Funktion GENERAL_NAME_cmp als ASN1_TYPE und nicht als ASN1_STRING fehlinterpretiert.
Wenn die CRL-Prüfung aktiviert ist (d.h. wenn die Anwendung das X509_V_FLAG_CRL_CHECK-Flag setzt), hat diese Schwachstelle das Potenzial, einem Angreifer zu erlauben, beliebige Zeiger für einen memcmp-Aufruf bereitzustellen. Dies wiederum könnte den Angreifer in die Lage versetzen, Speicherinhalte zu lesen oder einen Denial-of-Service-Angriff zu starten.
Hinweis: Obwohl wir uns hier auf OpenSSL-Schwachstellen konzentriert haben, ist es ebenso wichtig, dass Sie Ihre Samba-Server auf dem neuesten Stand halten. Die jüngsten Samba-Schwachstellen-Patches (Ende 2023) beheben kritische Probleme bei der Umgehung der Authentifizierung in vielen Distributionen.
TuxCare's LibCare für OpenSSL-Sicherheit
LibCare, ein Zusatztool für KernelCare Enterprise, bietet Unternehmen Live-Patching-Dienste für gemeinsam genutzte Bibliotheken wie glibc und OpenSSL, die anfällig für Sicherheitsbedrohungen sind.
Da zahlreiche Server auf Linux-basierte Betriebssysteme angewiesen sind, können Sicherheitslücken in kritischen Bibliotheken wie OpenSSL ein erhebliches Risiko darstellen. Gehen Sie keine Kompromisse bei der OpenSSL-Sicherheit ein und stören Sie Ihren Betrieb nicht länger. Mit LibCare von TuxCare können Sie die Sicherheit Ihres Unternehmens durch automatisiertes und unterbrechungsfreies Patching von Bibliotheken verbessern.
Abschließende Überlegungen
OpenSSL-Schwachstellen können böswillig für DoS-Angriffe ausgenutzt werden, was zum Verlust der Systemzugänglichkeit und sogar zur Beeinträchtigung der Systemintegrität führen kann. Um Ihre Systeme vor diesen Bedrohungen zu schützen, ist es unerlässlich, das von OpenSSL bereitgestellte Sicherheitsupdate umgehend zu installieren. Wir raten allen betroffenen Benutzern dringend, die OpenSSL-Updates, die von ihren jeweiligen Distributionen bereitgestellt werden, unverzüglich zu implementieren.
TuxCare hat bereits Patches für die oben erwähnten Sicherheitslücken veröffentlicht. Weitere Informationen finden Sie im CVE Dashboard.
Die Quelle für diesen Artikel finden Sie unter OpenSSL.
