Angreifern wird durch Sicherheitslücken in der Verschlüsselungs-Suite OpenSSL auf betroffenen Systemen das Einschleusen beliebigen Codes ermöglicht. Neue Softwareversionen, die insgesamt zwei Sicherheitslücken schließen sollen, wurden bereits von den Entwicklern veröffentlicht.

Von einer mit hohem Schweregrad eingestuften Schwachstelle (CVE-2022-2274) ist die erst am 21. Juni veröffentlichte Version 3.0.4 von OpenSSL betroffen. Die Entwickler sollen dort versehentlich einen Fehler eingebaut haben, der die RSA-Implementierung auf Prozessoren mit Unterstützung für die AVX-512 IFMA-Befehlssatzerweiterung betrifft. Aufgrund eines Speicherfehlers bei der Berechnung privater Schlüssel mit 2048-Bit könnten Angreifer Code aus dem Internet einschleusen und ausführen.

Die AES-Verschlüsselung im Offset Codebook Mode (OCB) ist ebenfalls von einer Sicherheitslücke (CVE-2022-2097) betroffen: Daten werden von der optimierten Implementierung für 32-Bit x86-Prozessoren mit der Befehlssatzerweiterung AES-NI gegebenenfalls nicht vollständig verschlüsselt. 16 Bytes des Speichers sollen dadurch offen liegen können. Die Lücke wurde mit dem Risiko "moderat" eingestuft und soll in den seltensten Fällen zum Tragen kommen. Betroffen sind die Versionen 1.1.1 und 3.0.

In den Versionen 1.1.1q und 3.0.5 von OpenSSL sollen die genannten Lücken geschlossen worden sein. Nähere Informationen zu den Lücken sind der Sicherheitsmeldung der OpenSSL-Entwickler zu entnehmen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE