Beschreibung:
Die Schwachstelle (CVE-2022-0778) in OpenSSL erlaubt es unauthentifizierten Angreifern Denial of Service-Attacken auszuführen. Bei der Verarbeitung von präparierten TLS-Zertifikaten kann es zu Fehlern kommen und somit Clients und Server in eine Endlosschleife bringen.
Betroffene Systeme:
Systeme, die OpenSSL in den Versionen 1.0.2, 1.1.1 oder 3.0 einsetzen.
Behobene Versionen:
OpenSSL 1.1.1n, 1.0.2zd oder 3.0.2
Empfohlene Maßnahmen:
Einspielen der zur Verfügung gestellten Patches. Da damit zu rechnen ist, dass entsprechend präparierte Zertifikate in kurzer Zeit in Umlauf gebracht werden, sollte dies so schnell wie möglich geschehen.
Einschätzung der Bedrohung:
Bisher ist uns noch nicht bekannt, dass die Schwachstelle bereits aktiv ausgenutzt wird, dies kann sich aber jederzeit ändern.
Weiterführende Links:
https://www.openssl.org/news/secadv/20220315.txt https://www.heise.de/news/Sicherheitsluecke-Praeparierte-TLS-Zertifikate-koennen-OpenSSL-Systeme-gefaehrden-6550820.html?wt_mc=rss.red.security.alert-news.atom.beitrag.beitrag