Sicherheitspatches: OpenSSL für Schadcode-Attacken anfällig

Angreifer können Systeme mit OpenSSL attackieren und unter bestimmten Voraussetzungen private Schlüssel wiederherstellen. Außerdem kann Schadcode auf PCs gelangen. Dagegen gerüstete Versionen stehen zum Download bereit.

Mit der freien OpenSSL-Software realisiert man unter anderem verschlüsselte Internetverbindungen auf TLS-Basis.

In einer Warnmeldung listen die Entwickler die Softwareschwachstellen auf. Am gefährlichsten gilt eine Lücke mit der Kennung CVE-2025-9230 und dem Bedrohungsgrad "hoch". Dabei kann es bei der Entschlüsselung von bestimmten CMS-Nachrichten zu Fehlern kommen, was zu Speicherfehlern (out-of-bounds) führt. Das resultiert in Abstürzen (DoS) oder es kann sogar zur Ausführung von Schadcode kommen.

Die zweite Sicherheitslücke (CVE-2025-9231 "mittel") betrifft ausschließlich 64-Bit-ARM-Plattformen. Dort können entfernte Angreifer mit einer Timing-Side-Channel-Attacke im Kontext von SM2-Signaturen private Schlüssel rekonstruieren.

Die dritte Schwachstelle (CVE-2025-9232 "mittel") kann zu DoS-Zuständen führen. Um die geschilderten Attacken vorzubeugen, sollten Admins zeitnah eine der abgesicherten Versionen installieren:

OpenSSL 1.0.2zm (Premium-Support)OpenSSL 1.1.1zd (Premium-Support)OpenSSL 3.0.18OpenSSL 3.2.6OpenSSL 3.3.5OpenSSL 3.4.3OpenSSL 3.5.4

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo