Neue OpenSSL-Lücke ist gefährlich, aber sehr schwer auszunutzen
Sicherheitslücken in der Bibliothek OpenSSL betreffen meist das gesamte Internet. Schließlich dient die Sammlung von Verschlüsselungsfunktionen vielen Anwendungen als Grundlage für Protokolle wie HTTPS. Dass das Projekt für eine Sicherheitslücke mit Potenzial zur Code-Ausführung vorerst keine Patches veröffentlicht, lässt aufhorchen. Tatsächlich haben die Entwickler gute Gründe – die Warnungen anderer Sicherheitsteams sind hingegen aus formalen Gründen alarmistischer.Der Sicherheitshinweis des OpenSSL-Entwicklerteams, der kürzlich auf verschiedenen Mailinglisten auftauchte, las sich wie ein Routinefall. Durch die Wahl bestimmter Parameter bei der Verschlüsselung mit einer speziellen Gruppe elliptischer Kurven entsteht unter Umständen ein Szenario, in dem unzulässige Lese- und Schreiboperationen im Hauptspeicher zu Abstürzen führen können. Auch die Ausführung von Schadcode können die OpenSSL-Entwickler nicht ausschließen.Das Risiko der Lücke mit der CVE-ID CVE-2024-9143 schätzten sie als niedrig ein, weil der Fehler schwierig auszunutzen sei. Nur Anwendungen, die exotische Parameter für die elliptische Kurve (GF(2m)) aus Nutzereingaben verwenden, sind theoretisch angreifbar – das OpenSSL-Team sah daher davon ab, Notfallpatches für die Lücke zu veröffentlichen. Sie besteht in den OpenSSL-Versionen 3.3, 3.2, 3.1., 3.0, 1.1.1 und 1.0.2 und soll in den bisher nicht erschienenen Versionen 3.3.3, 3.2.4, 3.1.8, 1.0.16, 1.1.1zb und 1.0.2zl behoben werden.Risiko hoch, niedrig, oder was?!Sowohl der Linux-Distributor SuSE als auch das Computer Emergency Response Team für Bundesbehörden (CERT-Bund) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzten die Risiken jedoch anders ein: SuSE vergab einen CVSS-Wert von 7 (Risiko: hoch), CERT-Bund gar 8,1 von 10 Punkten. Auf die Diskrepanz angesprochen, erklärte Johannes Segitz aus dem SuSE-Sicherheitsteam gegenüber heise Security, die CVSS-Skala tue sich mit der Angriffswahrscheinlichkeit schwer. Sie gehe stets von einem Worst-Case-Szenario aus, was den hohen Punktwert erkläre.Tomas Mraz vom OpenSSL-Entwicklerteam äußerte sich auf Nachfrage ähnlich: Zwar seien die Auswirkungen der Sicherheitslücke schwer, aber es sei extrem unwahrscheinlich, dass eine Anwendung angreifbar sei. Beim OpenSSL-Projekt wisse man von keinem einzigen verwundbaren Programm. So käme die Risikobewertung zustande – das CVSS-System könne diese Überlegungen schlicht nicht abbilden.CERT-Bund äußerte sich bis dato nicht zu ihrer Risikoeinschätzung, es steht jedoch zu vermuten, dass die Analysten beim BSI höhere Auswirkungen auf die Vertraulichkeit und Integrität betroffener Anwendungen annahmen als ihre Kollegen bei SuSE.(cku)