{"id":274639,"date":"2022-11-01T19:03:26","date_gmt":"2022-11-01T18:03:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274639"},"modified":"2022-11-02T08:23:51","modified_gmt":"2022-11-02T07:23:51","slug":"openssl-3-0-7-mit-sicherheitsfix-verfgbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/11\/01\/openssl-3-0-7-mit-sicherheitsfix-verfgbar\/","title":{"rendered":"OpenSSL 3.0.7 mit Sicherheitsfix verfügbar"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das Update auf OpenSSL 3.0.7 liegt nun auf den Seiten des Projekts vor. Damit hat das Team der OpenSLL-Entwickler die vor einiger Woche zum 1. November 2022 angek\u00fcndigte neue Version vor. Aufmerksamkeit erregte die Ank\u00fcndigung des Updates auf die Version 3.0.7, weil diese eine als kritisch eingestufte Schwachstelle schlie\u00dfen soll. Ganz so kritisch ist das Ganze aber wohl nicht geworden.<\/p>\n

Was ist OpenSSL?<\/h2>\n

\"\"OpenSSL ist eine weit verbreitete Code-Bibliothek, die eine sichere Kommunikation \u00fcber das Internet erm\u00f6glicht. OpenSSL umfasst Implementierungen der Netzwerkprotokolle und verschiedener Verschl\u00fcsselungen sowie das Programm openssl f\u00fcr die Kommandozeile zum Beantragen, Erzeugen und Verwalten von Zertifikaten (siehe<\/a>). Wer im Internet surft, eine Website besucht oder auf einen Online-Dienst zugreift, nutzt OpenSSL.<\/p>\n

OpenSSL 3.0.7 mit Schwachstellenfix<\/h2>\n

Im Blog-Beitrag Hinweis: Patch f\u00fcr OpenSSL Schwachstelle zum 1. Nov. 2022<\/a> hatte ich ja darauf hingewiesen, dass die neue Version der Bibliothek einen Sicherheitsfix beinhalten soll, der als kritisch eingestuft wird. Nun hat das OpenSSL-Projekt ein Security Advisory<\/a> vorgelegt, welches Details verr\u00e4t.<\/p>\n

CVE-2022-3602: X.509-E-Mail-Adresse 4-Byte-Puffer\u00fcberlauf<\/h3>\n

Ein Puffer\u00fcberlauf kann, insbesondere bei der \u00dcberpr\u00fcfung von Namensbeschr\u00e4nkungen, bei der \u00dcberpr\u00fcfung von X.509-Zertifikaten ausgel\u00f6st werden. Dies tritt aber erst nach der \u00dcberpr\u00fcfung der Signatur der Zertifikatskette auf und setzt voraus, dass entweder eine CA das b\u00f6swillige Zertifikat signiert haben muss oder dass die Anwendung die Zertifikatspr\u00fcfung fortsetzt, obwohl sie keinen Pfad zu einem vertrauensw\u00fcrdigen Aussteller hat. Dieses Problem wurde am 17. Oktober 2022 von Polar Bear an OpenSSL gemeldet.<\/p>\n

Ein Angreifer kann eine b\u00f6sartige E-Mail-Adresse erstellen, um vier Bytes auf dem Stack abzulegen und dann einen Buffer-Overflow auszul\u00f6sen. In einem TLS-Client kann dies durch die Verbindung zu einem b\u00f6sartigen Server ausgel\u00f6st werden. Bei einem TLS-Server kann dies ausgel\u00f6st werden, wenn der Server eine Client-Authentifizierung anfordert und ein b\u00f6sartiger Client eine Verbindung herstellt. Dieser Puffer\u00fcberlauf kann zu einem Absturz f\u00fchren (was eine Dienstverweigerung verursacht) oder m\u00f6glicherweise eine Remotecodeausf\u00fchrung erm\u00f6glicht.<\/p>\n

Viele Plattformen verf\u00fcgen \u00fcber Schutzmechanismen gegen einen Stapel\u00fcberlauf, die Risiko einer Remote Code-Execution begrenzen. In den Vorank\u00fcndigungen zu CVE-2022-3602 wurde dieses Problem als KRITISCH eingestuft. Weitere Analysen auf der Grundlage einiger der oben beschriebenen abschw\u00e4chenden Faktoren haben dazu gef\u00fchrt, dass dieses Problem auf HOCH herabgestuft wurde. Den Benutzern wird weiterhin empfohlen so schnell wie m\u00f6glich auf eine neue Version zu aktualisieren.<\/p>\n

CVE-2022-3786: X.509 Email Address Variable Length Buffer Overflow<\/h3>\n

Bei der \u00dcberpr\u00fcfung von X.509-Zertifikaten, insbesondere bei der \u00dcberpr\u00fcfung von Namensbeschr\u00e4nkungen, kann es zu einem Puffer\u00fcberlauf kommen. Beachten Sie, dass dies nach der Zertifikatsketten-Signaturpr\u00fcfung auftritt und erfordert, dass entweder eine CA ein b\u00f6sartiges Zertifikat signiert hat oder dass eine Anwendung die Zertifikats\u00fcberpr\u00fcfung fortsetzt, obwohl kein Pfad zu einem vertrauensw\u00fcrdigen
\nEmittenten existiert.<\/p>\n

Ein Angreifer kann eine b\u00f6sartige E-Mail-Adresse in ein Zertifikat einbauen, um eine beliebige Anzahl von Bytes, die das Zeichen `.' enthalten, auf dem Stack zu \u00fcberschreiben. Dieser Puffer\u00fcberlauf k\u00f6nnte zu einem Absturz f\u00fchren (was eine Dienstverweigerung zur Folge hat). In einem TLS-Client kann dies durch die Verbindung zu einem b\u00f6sartigen Server ausgel\u00f6st werden. Bei einem TLS-Server kann dies ausgel\u00f6st werden, wenn der Server eine Client-Authentifizierung anfordert und ein b\u00f6sartiger Client eine Verbindung herstellt. Die Schwachstelle wird mit dem Schweregrad Hoch bewertet und wurde am 18. Oktober durch Viktor Dukhovni gemeldet.<\/p>\n

Es sind nur die OpenSSL-Versionen 3.0.0 bis 3.0.6 f\u00fcr beide Schwachstellen anf\u00e4llig. Bisher ist kein funktionierender Exploit f\u00fcr die zwei CVEs bekannt, der zur Codeausf\u00fchrung oder Ausnutzung f\u00fchren k\u00f6nnte. Benutzer von OpenSSL 3.0 sollten ein Upgrade auf OpenSSL 3.0.7 durchf\u00fchren. OpenSSL 1.1.1 und 1.0.2 sind von diesen Schwachstellen nicht betroffen.<\/p>\n

Damit erweist sich die Schwachstellenproblematik als nicht so kritisch wie urspr\u00fcnglich bef\u00fcrchtet. Der aktualisierte Quellecode des Projekts findet sich dieser Projektseite<\/a>. Es ist davon auszugehen, dass betroffene Linux-Distributionen und die Hersteller betroffener Software-Produkte bald entsprechende Sicherheitsupdates bereitstellen. Als Endanwender bleibt eh nur die Option, auf solche Updates der Softwarehersteller zu warten und diese dann zu installieren.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nHinweis: Patch f\u00fcr OpenSSL Schwachstelle zum 1. Nov. 2022<\/a>
\nnginx for Windows von OpenSSL Privilegien-Schwachstelle betroffen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das Update auf OpenSSL 3.0.7 liegt nun auf den Seiten des Projekts vor. Damit hat das Team der OpenSLL-Entwickler die vor einiger Woche zum 1. November 2022 angek\u00fcndigte neue Version vor. Aufmerksamkeit erregte die Ank\u00fcndigung des Updates auf die Version … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-274639","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274639","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274639"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274639\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274639"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274639"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274639"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}