ClickCease Zwei weitere Sicherheitslücken in OpenSSL aufgedeckt - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Zwei weitere Sicherheitslücken in OpenSSL aufgedeckt

26. März 2021. TuxCare PR Team

Zwei weitere Sicherheitslücken in OpenSSL aufgedeckt

 

OpenSSL, das weit verbreitete Kryptographie-Toolkit und die Bibliothek, war das Ziel von Sicherheitsforschern wie kaum ein anderes Projekt, vielleicht nur mit Ausnahme des Linux-Kernels selbst. Diese Woche war keine Ausnahme, und wieder wurden einige Probleme gefunden.

 

[Update 20. April: In den letzten Wochen hat KernelCare Patches für CVE-2021-3449 veröffentlicht, die AlmaLinux OS 8, RHEL 8, Ubuntu 18.04, Ubuntu 20.04, Centos 8, Debian 10, Oracle Linux 8 abdecken, und für CVE-2021-3450, die AlmaLinux OS 8, Centos 8, Oracle Linux 8, RHEL 8 abdecken.] Wenn Sie KernelCare auf einem dieser Systeme einsetzen, haben Sie die Patches bereits erhalten.

Anstatt das Rad jedes Mal neu zu erfinden, wenn sie beispielsweise einen sicheren Kommunikationskanal benötigen oder eine Zertifikatsvalidierung durchführen müssen, verlassen sich die Programmierer auf die bewährte OpenSSL-Bibliothek. Sie genießen die Benutzerfreundlichkeit und die breite Akzeptanz, auch über Betriebssysteme und Architekturen hinweg, da sie sich nicht um diese allgemeinen Funktionen kümmern müssen und sich auf die Kernziele der Anwendung konzentrieren können.

 

Wenn also im Zusammenhang mit OpenSSL die Alarmglocken läuten, werden viele aufmerksam und nehmen es ernst. Erst diese Woche wurden zwei neue Sicherheitslücken bekannt, CVE-2021-3449 und CVE-2021-3450, die alle OpenSSL-Versionen im 1.1.1-Zweig betreffen. Dies sind die Versionen, die mit mehreren Betriebssystemen wie RHEL 8 gebündelt sind, was bedeutet, dass Systeme, die mit diesen Systemen arbeiten, OpenSSL so schnell wie möglich aktualisieren sollten, da OpenSSL 1.1.1k den Fix für beide Probleme enthält. 

Bei der ersten Schwachstelle, CVE-2021-3449, handelt es sich um eine mögliche DoS-Schwachstelle (Denial-of-Service), bei der ein böswilliger Akteur eine Serveranwendung (z. B. einen Web- oder E-Mail-Server) zum Absturz bringen könnte, die TLSv1.2 verwendet und für die Neuaushandlung konfiguriert ist - leider ist dies das Standardverhalten, so dass jede Software, die TLSv1.2 verwendet, aus der Ferne zum Absturz gebracht werden könnte, sofern nicht explizit eine Konfigurationsänderung vorgenommen wurde. Das Problem entsteht durch eine fehlende Parametervalidierung in einem bestimmten Code-Pfad, was dazu führen kann, dass ein NULL-Zeiger verwendet wird, was den Absturz sofort auslöst.

 

Die zweite Schwachstelle, CVE-2021-3450, ermöglicht es speziell gestalteten Zertifikaten, von Programmen, die anfällige OpenSSL-Versionen verwenden, als CA-Zertifikate (Certification Authority) akzeptiert zu werden, was bedeutet, dass alle Validierungen und Zusicherungen, die sich aus einer Vertrauenskette von Zertifikaten ergeben, potenziell eliminiert werden, wodurch gefälschte Zertifikate als tatsächliche, vertrauenswürdige Zertifikate angezeigt werden.

 

Das KernelCare-Team hat bereits mit der Arbeit an den Patches begonnen, die Anfang nächster Woche für betroffene Systeme mit KernelCare verfügbar sein sollten. Dieser Beitrag wird mit der Verfügbarkeit spezifischer Betriebssystem-Patches aktualisiert, sobald diese fertiggestellt sind.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter