Zwei Sicherheitslücken in OpenSSL 3.0.x

Heartbleed lässt grüßen: OpenSSL angreifbar

2. November 2022, 12:00 Uhr | Wilhelm Greiner
© Wolfgang Traub

Am 1. November meldete das Entwicklerteam hinter der Open Source Library OpenSSL die Schwachstellen CVE-2022-3786 und CVE-2022-3602 in OpenSSL 3.0.x, beide mit Schweregrad „hoch“, und veröffentlichte auch gleich den zugehörigen Patch. Nach Angaben des Entwicklungsteams sind ältere Versionen nicht von der Schwachstelle betroffen. Fachleute raten dazu, umgehend die IT-Umgebung auf die OpenSSL-Lücke zu untersuchen und den Patch bei Bedarf schnellstmöglich aufzuspielen.

Das Problem: Bei der Überprüfung von X.509-Zertifikaten kann ein Pufferüberlauf (Buffer Overrun) entstehen. Dies, so das OpenSSL-Entwicklerteam, trete nach der Überprüfung der Signatur der Zertifikatskette auf und erfordere, dass entweder eine Zertifizierungsstelle (CA) ein bösartiges Zertifikat signiert hat oder eine Anwendung die Zertifikatsüberprüfung fortsetzt, obwohl kein Pfad zu einem vertrauenswürdigen Aussteller erstellt werden kann.

Der Pufferüberlauf könne zum Absturz und somit zu DoS (Denial of Service) führen. In einem TLS-Client könne dies durch eine Verbindung zu einem bösartigen Server ausgelöst werden, bei einem TLS-Server, wenn der Server eine Client-Authentifizierung anfordert und ein bösartiger Client eine Verbindung herstellt.

„In den Vorankündigungen zu CVE-2022-3602 wurde dieses Problem als kritisch eingestuft“, so die Verlautbarung des Entwicklerteams. Weitere Analysen hätten aber dazu geführt, dass dieses Problem auf hoch herabgestuft wurde. Den Benutzern empfehle man aber weiterhin, so bald wie möglich auf eine neue Version zu aktualisieren.

„OpenSSL hat dem wochenlangen Warten um die kritische Sicherheitslücke ein Ende gesetzt“, kommentiert Lotem Finkelsteen, Director Threat Intelligence & Research von Check Point. „Die Enthüllung ist, dass diese Schwachstelle in der Lage ist, Remote-Code auszuführen, was ein hohes Risiko für jedes SSL-verschlüsselte Produkt darstellt.“

Anbieter zum Thema

zu Matchmaker+
„OpenSSL 3.0.x wurde im Jahr 2021 veröffentlicht. Dieser Faktor wird hoffentlich das Ausmaß der Probleme etwas einschränken“, so Chris Dobrec, VP Product & Industry Solutions bei Armis.
„OpenSSL 3.0.x wurde im Jahr 2021 veröffentlicht. Dieser Faktor wird hoffentlich das Ausmaß der Probleme etwas einschränken“, so Chris Dobrec, VP Product & Industry Solutions bei Armis.
© Armis

Ähnlich wie die im Dezember 2021 bekannt gewordene Log4j-Schwachstelle ist OpenSSL in vielen Betriebssystemen (Windows, macOS, verschiedene Linux-Distributionen etc.) integriert, ebenso in Client-seitigen Anwendungen, Web- und E-Mail-Servern (Apache, Nginx etc.), Netzwerkgeräten und auch in Industriesteuerungssystemen.

„OpenSSL 3.0.x wurde im Jahr 2021 veröffentlicht. Dieser Faktor wird hoffentlich das Ausmaß der Probleme etwas einschränken, da ältere Versionen nicht betroffen zu sein scheinen“, sagt Chris Dobrec, VP Product & Industry Solutions beim IT/OT-Security-Anbieter Armis.


  1. Heartbleed lässt grüßen: OpenSSL angreifbar
  2. Mitigationsmaßnahmen

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Hays AG

Weitere Artikel zu CONNECT GmbH KOMMUNIKATIONSSYSTEME

Weitere Artikel zu Security-Management

Weitere Artikel zu ForgeRock Limited

Weitere Artikel zu Davidsmeyer & Paul GmbH Elektronik

Weitere Artikel zu RPV - Rainer Pahl Distribution

Matchmaker+