No Comments

Neuer Endlosschleifen-Bug in OpenSSL könnte Angreifer zum Absturz von Remote-Servern führen

 

Die Betreuer von OpenSSL haben Patches ausgeliefert, um ein Sicherheitsproblem mit hohem Schweregrad zu beheben Fehler in seiner Softwarebibliothek, der beim Analysieren von Zertifikaten zu einer Denial-of-Service-Bedingung (DoS) führen könnte.

Verfolgt als CVE-2022-0778 (CVSS-Bewertung: 7,5 ), stammt das Problem vom Parsen eines fehlerhaften Zertifikats mit ungültiger expliziter elliptic-curve Parameter, was zu einer sogenannten „Endlosschleife“ führt. Der Fehler liegt in einer Funktion namens BN_mod_sqrt(), die zur Berechnung der modularen Quadratwurzel verwendet wird.

„Da das Parsen von Zertifikaten vor der Überprüfung der Zertifikatsignatur erfolgt, kann jeder Prozess, der ein extern bereitgestelltes Zertifikat parst, einem Denial-of-Service-Angriff ausgesetzt sein“, sagte OpenSSL in einem am 15. März 2022 veröffentlichten Advisory.

„Die Endlosschleife kann auch erreicht werden, wenn präparierte private Schlüssel analysiert werden, da sie explizite Elliptische-Kurven-Parameter enthalten können.“

Obwohl es keine Beweise dafür gibt, dass die Schwachstelle in freier Wildbahn ausgenutzt wurde, gibt es einige Szenarien, in denen sie als Waffe genutzt werden könnte, einschließlich wenn TLS-Clients (oder -Server) auf ein Rogue-Zertifikat von einem böswilligen Server (oder Client) zugreifen oder wenn ein Zertifikat Behörden analysieren Zertifizierungsanfragen von Abonnenten.

Die Schwachstelle betrifft die OpenSSL-Versionen 1.0.2, 1.1.1 und 3.0, die Projektbesitzer haben den Fehler mit der Veröffentlichung der Versionen 1.0.2zd (für Kunden mit Premium-Support), 1.1.1n und 3.0.2 behoben. OpenSSL 1.1.0 ist zwar ebenfalls betroffen, erhält jedoch keinen Fix, da es das Ende seiner Lebensdauer erreicht hat.

Die Meldung des Fehlers am 24. Februar 2022 wird dem Google Project Zero-Sicherheitsforscher Tavis Ormandy zugeschrieben. Der Fix wurde von David Benjamin von Google und Tomáš Mráz von OpenSSL entwickelt.

CVE-2022-0778 ist auch die zweite OpenSSL-Schwachstelle, die seit Anfang des Jahres geschlossen wurde. Am 28. Januar 2022 haben die Betreuer einen Fehler mittleren Schweregrades behoben (CVE -2021-4160, CVSS-Bewertung: 5,9), die das MIPS32- und MIPS64-Quadrierungsverfahren der Bibliothek betrifft.

 


Quelle: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.