[Generic/OpenSSL] Schwachstelle in OpenSSL
(2015-07-09 14:23:50.342422+00)
Quelle:
https://www.openssl.org/news/secadv_20150709.txtEine Schwachstelle in OpenSSL der Versionen OpenSSL 1.0.2b, 1.0.2c, 1.0.1n und 1.0.1o kann dazu führen, dass Zertifikatsketten nicht ordnungsgemäß geprüft werden und ungültige Zertifikate als vertrauenswürdig aktzeptiert werden. Es wird dringend empfohlen betroffene Versionen auf OpenSSL 1.0.1p bzw. 1.0.2d zu aktualisieren, falls noch nicht geschehen. Aktuelle Linux-Distributionen sollten bereits die nicht mehr betroffenen Versionen enthalten.
Inhalt
Zusammenfassung
- CVE-2015-1793:
Betroffen: OpenSSL 1.0.2b, 1.0.2c, 1.0.1n, 1.0.1o Plattform: alle (generic) Einfallstor: X.509 Zertifikat Angriffsvoraussetzung: Benutzerinteraktion Angriffsvektorklasse: remote Auswirkung: Akzepieren von ungültigen Zertifikaten Typ: Implementierungsfehler Gefahrenpotential: hoch Workaround: teilweise Gegenmaßnahmen: neue Version Vulnerability ID: CVE-2015-1793
Beschreibung
Ein Implementierungsfehler des Prozesses der Verifizierung von Zertifikatketten, kann dazu führen, dass Zertifikate als vertrauenswürdig eingestuft werden, die nicht durch eine gültige Zertifikatskette bestätigt sind.
Wenn die Überprüfung einer Zertifikatskette fehlschlägt, versucht OpenSSL eine alternative Zertifikatskette aufzubauen, um ein Zertifikat zu verifizieren. Ein Fehler in den entsprechenden Routinen kann dazu ausgenutzt werden, OpenSSL zu veranlassen, bestimmte Erweiterungen, wie zB das "CA"-Flag nicht zu beachten und so z.B. gültige Server- oder Benutzerzertifikate als CA-Zertifikat einzustufen und von diesen signierte Schlüssel als gültige Zertifikate zu akzeptieren. Ein Angreifer, der ein solches Server- oder Benutzerzertifikat besitzt, kann so akzeptierte Zertifikate für beliebiger Server oder Benutzer ausstellen und z.B. Phishing Sites mit einem vermeintlich vertrauenswürdigen Zertifikat ausstatten.
Workaround
- In Fällen, in denen das Zertifikat der Gegenseite bekannt ist, kann durch das Pinning dieses Zertifikates die Ausnutzung der Schwachstelle verhindert werden.
Gegenmaßnahmen
- Installation von OpenSSL 1.0.1p bzw.
- Installation von OpenSSL 1.0.2d
- Betroffene Linux- und BSD-Distributionen sollten mit den bereitgestellten Patches aktualisiert werden.
Vulnerability ID
(og)Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1734