Eine Schwachstelle im weit verbreiteten Kryptografie‑Toolkit OpenSSL erlaubt einem entfernten, authentifizierten Angreifer, gezielte Denial‑of‑Service‑Angriffe auszuführen und dabei Informationen aus betroffenen Systemen zu offenbaren.

Technische Details

Laut CERT‑Bund betrifft die Lücke die Verarbeitung von speziell gestalteten Nachrichten im TLS‑Stack von OpenSSL. Durch fehlerhafte Validierung kann ein Angreifer die Ressourcennutzung eines Servers stark erhöhen, was zu einer Unterbrechung des Dienstes führt.

Betroffene Systeme

Die Advisory‑Nummer WID‑SEC‑2024‑1469 listet aktuelle Versionen von OpenSSL auf, die die fehlerhafte Logik enthalten. Administratoren sollten prüfen, ob ihre Infrastruktur von den genannten Versionen Gebrauch macht.

Empfohlene Maßnahmen

Der CERT‑Bund empfiehlt, unverzüglich auf die von der OpenSSL‑Projektgruppe bereitgestellte Sicherheitsaktualisierung zu migrieren. Zusätzlich sollten betroffene Dienste neu gestartet und Log‑Dateien auf ungewöhnliche Zugriffsmuster überprüft werden.

Zeitlicher Ablauf

Die Sicherheitsberatung wurde am 12. April 2024 veröffentlicht. In den darauffolgenden Tagen wurden erste Meldungen über erfolgreiche Ausnutzung der Lücke an das CERT‑Bund weitergeleitet.

Ausblick

Experten weisen darauf hin, dass ähnliche Schwachstellen im Bereich der kryptografischen Bibliotheken regelmäßig auftreten. Deshalb wird empfohlen, regelmäßige Updates und Sicherheitsüberprüfungen in den Betriebsablauf zu integrieren.

Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).