Kerninformation
Ein Sicherheitsexperte hat festgestellt, dass ein Angreifer mehrere Schwachstellen in der Java‑Bibliothek Bouncy Castle (BC‑JAVA) ausnutzen kann, um kryptografische Schutzmaßnahmen zu umgehen, vertrauliche Daten offenzulegen und einen Denial‑of‑Service‑Zustand zu erzeugen.
Betroffene Anwendungen
Die betroffene Bibliothek wird weltweit in zahlreichen Anwendungen eingesetzt, die auf Java‑basierte Verschlüsselung setzen, darunter Server, Mobile Apps und Cloud‑Dienste.
Technische Details
Laut dem Advisory des CERT‑Bund umfassen die Schwachstellen Fehler in der Implementierung von RSA‑Padding, Schwächen bei der Verarbeitung von elliptischen Kurven und fehlerhafte Ausnahmebehandlung, die jeweils zu einer Umgehung von Authentifizierungsprüfungen führen können.
Mögliche Folgen
Durch Ausnutzung dieser Fehler kann ein Angreifer verschlĂĽsselte Nachrichten entschlĂĽsseln, SchlĂĽsselmaterial einsehen oder den betroffenen Dienst zum Absturz bringen, was zu Datenverlust und Betriebsunterbrechungen fĂĽhren kann.
Empfohlene MaĂźnahmen
Der CERT‑Bund empfiehlt allen Betreibern, sofort auf die von Bouncy Castle bereitgestellte Version 1.78 oder höher zu aktualisieren, da diese die bekannten Lücken schließt.
Weiteres Vorgehen
Entwickler werden zudem aufgefordert, ihre Build‑Prozesse zu überprüfen und sicherzustellen, dass keine veralteten Bibliotheksversionen mehr eingebunden sind.
Aussage des CERT‑Bund
Der CERT‑Bund weist darauf hin, dass die Schwachstellen öffentlich bekannt wurden und dass weitere Analysen folgen könnten, um mögliche Zusatzrisiken zu identifizieren.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Ăśbertragung