Kryptobibliothek: OpenSSL-Lücke in Zertifikatschecks

Ein Fehler von OpenSSL bei der Zertifikatsvalidierung betrifft nur wenige Anwendungen, ein weiterer Bug lässt Server abstürzen.

Artikel veröffentlicht am ,
OpenSSL patzt bei der Prüfung von Zertifikatssignaturen, aber der Fehler betrifft die meisten Anwendungen nicht.
OpenSSL patzt bei der Prüfung von Zertifikatssignaturen, aber der Fehler betrifft die meisten Anwendungen nicht. (Bild: DKrue, Pixabay)

Die Entwickler von OpenSSL haben zwei Sicherheitslücken geschlossen. Eine Lücke ermöglicht das Austricksen der Zertifikatsvalidierung, sie ist aber nur ausnutzbar, wenn ein spezielles, fast nie genutztes Flag aktiviert wird. Ein weiterer Fehler betrifft die TLS-Renegotiation, mit dem Bug lassen sich Server zum Absturz bringen.

Stellenmarkt
  1. Mathematiker / Physiker Underwriting (w/m/d)
    Allianz Lebensversicherungs-AG, Stuttgart
  2. System Engineer Contact Center (m/w/d)
    Atruvia AG, Karlsruhe, Münster
Detailsuche

Die Sicherheitslücke mit der Kennung CVE-2021-3450 betrifft die Funktionalität zur Prüfung von Zertifikaten. Diese Funktionen besitzen einen speziellen Strict-Modus, der über ein Flag aktiviert werden kann. In diesem Modus werden Zertifikate, die individuelle Parameter für elliptische Kurven verwenden, nicht akzeptiert. Solche Zertifikate werden praktisch nie genutzt, da üblicherweise vordefinierte Parameter für elliptische Kurven verwendet werden.

Zertifikatscheck lässt sich überschreiben

Der Check auf solche ungewöhnlichen Zertifikate wurde fehlerhaft implementiert. Der Fehler ermöglicht es, die ebenfalls stattfindende Prüfung, ob das Zertifikat von einer akzeptierten Zertifizierungsstelle unterschrieben wurde, zu überschreiben.

Eigentlich ein extrem kritischer Bug. In der Praxis dürfte er trotzdem nahezu keine Auswirkungen haben. Der spezielle Strict-Modus für die Zertifikatsprüfung wird praktisch nie verwendet. Die meisten Anwendungen, die OpenSSL verwenden, sind nicht betroffen.

Golem Karrierewelt
  1. Deep Dive: Data Architecture mit Spark und Cloud Native: virtueller Ein-Tages-Workshop
    01.02.2023, Virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    08.12.2022, Virtuell
Weitere IT-Trainings

Der zweite Fehler, den OpenSSL behoben hat, trägt die Kennung CVE-2021-3449 und findet sich im Code für die Renegotiation. Diese Funktion, die in TLS 1.2 und älteren Versionen vorhanden ist, ermöglicht es, während einer TLS-Verbindung einen neuen Handshake durchzuführen.

Crash, aber keine weiteren Auswirkungen

Setzt ein Client bestimmte Erweiterungsparameter im Renegotiation-Handshake, führt das auf dem Server zu einem Zugriff auf einen Null-Pointer. Solche Null-Pointer-Bugs führen zu einem Speicherzugriffsfehler und einem Absturz der Applikation. Eine Ausführung von Code ist nicht möglich.

OpenSSL hat die Version 1.1.1k veröffentlicht, die beide Fehler behebt. Die gängigen Linux-Distributionen werden Updates in Kürze bereitstellen, insbesondere auf Servern sollten diese zeitnah installiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cybermonday
CPU-Kaufberatung für Spieler

Wir erklären, wann sich ein neuer Prozessor wirklich lohnt und wann man doch lieber warten oder in eine Grafikkarte investieren sollte.
Von Martin Böckmann

Cybermonday: CPU-Kaufberatung für Spieler
Artikel
  1. Netzwerkprotokoll: Was Admins und Entwickler über IPv6 wissen müssen
    Netzwerkprotokoll
    Was Admins und Entwickler über IPv6 wissen müssen

    Sogar für IT-Profis scheint das Netzwerkprotokoll IPv6 oft ein Buch mit sieben Siegeln - und stößt bei ihnen nicht auf bedingungslose Liebe. Wir überprüfen die Vorbehalte in der Praxis und geben Tipps.
    Von Jochen Demmer

  2. Black Week - E-Learning-Pakete zum halben Preis
     
    Black Week - E-Learning-Pakete zum halben Preis

    Nur noch bis Mittwoch, 30. November! Geballtes IT-Know-how durch E-Learning-Kurse - für nur 50 Prozent des regulären Preises!
    Sponsored Post von Golem Karrierewelt

  3. Black Friday 2022: Heute letzte Chance auf Deals
     
    Black Friday 2022: Heute letzte Chance auf Deals

    Die Black Friday Woche endet und bietet heute mit dem Cyber Monday die letzte Chance auf Deals bei Amazon, Media Markt, Saturn, Lego und Co.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Monday bei Media Markt & Saturn • Nur noch heute: Black Friday Woche bei Amazon & NBB • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Xbox Series S 222€ • Gamesplanet Winter Sale - neue Angebote • WD_BLACK SN850 1TB 129€ [Werbung]
    •  /