[Warning] Sicherheitslücken mit Denial of Service-Potential in OpenSSL - Updates verfügbar
Robert Waldner
waldner at cert.at
Wed Mar 16 11:16:52 CET 2022
16. März 2022
Beschreibung
Das OpenSSL Projekt hat eine Warnung zu potentiellen Endlosschleifen -
und damit der Möglichkeit zu Denial of Service-Attacken - in OpenSSL
herausgegeben und gleichzeitig entsprechende Updates veröffentlicht.
Dies betrifft sowohl Clients als auch Server, die OpenSSL einsetzen.
CVE-Nummer: CVE-2022-0778
Auswirkungen
Angreifer können:
* Clients entsprechend präparierte Server-Zertifikate präsentieren,
wodurch die Clients in eine Endlosschleife gelangen und entsprechend
System-Ressourcen gebunden werden
* Servern entsprechend präparierte Client-Zertifkate präsentieren,
wodurch die Server in eine Endlosschleife gelangen und entsprechend
System-Ressourcen gebunden werden
Weiters sind Setups verwundbar, die SSL-Zertifikate anderweitig
verarbeiten, etwa wenn solche von Kunden hochgeladen werden können oder
wenn Certification Requests (etwa von CAs) verarbeitet werden.
Betroffene Systeme
Systeme, die OpenSSL in den Versionen 1.0.2, 1.1.1 und 3.0 einsetzen.
Abhilfe
Einspielen der zur Vergügung gestellten Patches. Da damit zu rechnen
ist, dass entsprechend präparierte Zertifikate in kurzer Zeit in Umlauf
gebracht werden, sollte dies so schnell wie möglich geschehen.
Das OpenSSL Projekt weist weiters darauf hin, dass es für OpenSSL 1.0.2
keine öffentlich verfügbaren Updates mehr gibt und legt hier generell
ein Update auf die noch unterstützen Versionen 1.1.1n bzw. 3.0.2 nahe.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Advisory von OpenSSL: https://www.openssl.org/news/secadv/20220315.txt
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der CERT.at GmbH
// https://cert.at/ - Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20220316/27259729/attachment.sig>
More information about the Warning
mailing list