[Warning] Sicherheitslücken mit Denial of Service-Potential in OpenSSL - Updates verfügbar

Robert Waldner waldner at cert.at
Wed Mar 16 11:16:52 CET 2022 

16. März 2022

Beschreibung

Das OpenSSL Projekt hat eine Warnung zu potentiellen Endlosschleifen -
und damit der Möglichkeit zu Denial of Service-Attacken - in OpenSSL
herausgegeben und gleichzeitig entsprechende Updates veröffentlicht.

Dies betrifft sowohl Clients als auch Server, die OpenSSL einsetzen.

CVE-Nummer: CVE-2022-0778


Auswirkungen

Angreifer können:

* Clients entsprechend präparierte Server-Zertifikate präsentieren,
   wodurch die Clients in eine Endlosschleife gelangen und entsprechend
   System-Ressourcen gebunden werden
* Servern entsprechend präparierte Client-Zertifkate präsentieren,
   wodurch die Server in eine Endlosschleife gelangen und entsprechend
   System-Ressourcen gebunden werden

Weiters sind Setups verwundbar, die SSL-Zertifikate anderweitig
verarbeiten, etwa wenn solche von Kunden hochgeladen werden können oder
wenn Certification Requests (etwa von CAs) verarbeitet werden.


Betroffene Systeme

Systeme, die OpenSSL in den Versionen 1.0.2, 1.1.1 und 3.0 einsetzen.


Abhilfe

Einspielen der zur Vergügung gestellten Patches. Da damit zu rechnen
ist, dass entsprechend präparierte Zertifikate in kurzer Zeit in Umlauf
gebracht werden, sollte dies so schnell wie möglich geschehen.

Das OpenSSL Projekt weist weiters darauf hin, dass es für OpenSSL 1.0.2
keine öffentlich verfügbaren Updates mehr gibt und legt hier generell
ein Update auf die noch unterstützen Versionen 1.1.1n bzw. 3.0.2 nahe.


Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige 
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n):

Advisory von OpenSSL: https://www.openssl.org/news/secadv/20220315.txt

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der CERT.at GmbH
// https://cert.at/ - Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20220316/27259729/attachment.sig>

More information about the Warning mailing list