{"id":287484,"date":"2023-10-27T07:34:55","date_gmt":"2023-10-27T05:34:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287484"},"modified":"2023-10-27T07:47:55","modified_gmt":"2023-10-27T05:47:55","slug":"schwachstelle-cve-2023-5363-in-openssl","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/27\/schwachstelle-cve-2023-5363-in-openssl\/","title":{"rendered":"Schwachstelle CVE-2023-5363 in OpenSSL"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/10\/27\/vulnerability-cve-2023-5363-in-openssl\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]In der Software OpenSSL wurde eine Schwachstelle CVE-2023-5363 gefunden. Die Initialisierung der Verschl\u00fcsselungsschl\u00fcssell\u00e4nge und des Initialisierungsvektors in OpenSLL ist fehlerhaft. F\u00fcr die Linux-Distributionen Debian und Ubuntu ist ein Fix aber bereits verf\u00fcgbar.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/096235634d2c409b826fce3fd05c8227\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin \u00fcber nachfolgenden BlueSky-Post auf den Sachverhalt bzw. die OpenSSL-Schwachstelle CVE-2023-5363 aufmerksam geworden.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/XYDp4NBN\/image.png\" \/><\/p>\n<p>Das Ganze ist auf cve.mitre.org unter <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-5363\" target=\"_blank\" rel=\"noopener\">CVE-2023-5363<\/a> beschrieben. In OpenSSL wurde ein Fehler bei der Verarbeitung der L\u00e4ngen von Schl\u00fcssel und Initialisierungsvektor (IV) festgestellt. Dies kann zu potenziellen Abbr\u00fcchen oder \u00dcberl\u00e4ufen w\u00e4hrend der Initialisierung einiger symmetrischer Chiffren f\u00fchren. Das f\u00fchrt bei einigen Verschl\u00fcsselungsmodi zu einem Verlust der Vertraulichkeit.<\/p>\n<ul>\n<li>Betroffen sind die Chiffren und Verschl\u00fcsselungsmodi RC2, RC4, RC5, CCM, GCM und OCB.<\/li>\n<li>Bei den Verschl\u00fcsselungsmodi CCM, GCM und OCB kann das Abschneiden der IV zu einem Verlust der Vertraulichkeit f\u00fchren.<\/li>\n<\/ul>\n<p>Sowohl Abbr\u00fcche als auch \u00dcberl\u00e4ufe des Schl\u00fcssels und \u00dcberl\u00e4ufe der IV f\u00fchren zu falschen Ergebnissen und k\u00f6nnten in einigen F\u00e4llen eine Speicherausnahme ausl\u00f6sen. Diese Probleme werden jedoch derzeit nicht als sicherheitskritisch eingestuft. Das \u00c4ndern der Schl\u00fcssel- und\/oder IV-L\u00e4ngen wird nicht als \u00fcblicher Vorgang angesehen, und die anf\u00e4llige API wurde erst k\u00fcrzlich eingef\u00fchrt.<\/p>\n<p>Dar\u00fcber hinaus ist es wahrscheinlich, dass die Anwendungsentwickler dieses Problem w\u00e4hrend der Tests entdeckt haben, schreibt CVE-Mitre, da die Entschl\u00fcsselung fehlschlagen w\u00fcrde, wenn nicht beide Peers in der Kommunikation \u00e4hnlich verwundbar w\u00e4ren. Aus diesen Gr\u00fcnden gehen die CVE-Mitre-Leute davon aus, dass die Wahrscheinlichkeit, dass eine Anwendung anf\u00e4llig f\u00fcr dieses Problem ist, recht gering ist.<\/p>\n<p>Sollte eine Anwendung jedoch anf\u00e4llig sein, wird dieses Problem als sehr ernst eingestuft.\u00a0 Aus diesen Gr\u00fcnden wurde dieses Problem insgesamt als m\u00e4\u00dfig schwerwiegend eingestuft.<\/p>\n<ul>\n<li>Die OpenSSL SSL\/TLS-Implementierung ist von diesem Problem nicht betroffen.<\/li>\n<li>Die FIPS-Provider OpenSSL 3.0 und 3.1 sind davon nicht betroffen, da das Problem au\u00dferhalb der FIPS-Provider-Grenze liegt.<\/li>\n<li>OpenSSL 3.1 und 3.0 sind f\u00fcr dieses Problem aber anf\u00e4llig.<\/li>\n<\/ul>\n<p>Die CVE-Seite f\u00fcr <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-5363\" target=\"_blank\" rel=\"noopener\">CVE-2023-5363<\/a> gibt weitere Referenzen zu Debian, OpenWall etc. an.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In der Software OpenSSL wurde eine Schwachstelle CVE-2023-5363 gefunden. Die Initialisierung der Verschl\u00fcsselungsschl\u00fcssell\u00e4nge und des Initialisierungsvektors in OpenSLL ist fehlerhaft. F\u00fcr die Linux-Distributionen Debian und Ubuntu ist ein Fix aber bereits verf\u00fcgbar.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-287484","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287484","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287484"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287484\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287484"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287484"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287484"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}