Sicherheitspatches: OpenSSL für Schadcode-Attacken anfällig

Angreifer können Systeme mit OpenSSL attackieren und unter bestimmten Voraussetzungen private Schlüssel wiederherstellen. Außerdem kann Schadcode auf PCs gelangen. Dagegen gerüstete Versionen stehen zum Download bereit.

Mit der freien OpenSSL-Software realisiert man unter anderem verschlüsselte Internetverbindungen auf TLS-Basis.

Mehrere Sicherheitsprobleme

In einer Warnmeldung listen die Entwickler die Softwareschwachstellen auf. Am gefährlichsten gilt eine Lücke mit der Kennung CVE-2025-9230 und dem Bedrohungsgrad „hoch„. Dabei kann es bei der Entschlüsselung von bestimmten CMS-Nachrichten zu Fehlern kommen, was zu Speicherfehlern (out-of-bounds) führt. Das resultiert in Abstürzen (DoS) oder es kann sogar zur Ausführung von Schadcode kommen.

Die zweite Sicherheitslücke (CVE-2025-9231 „mittel„) betrifft ausschließlich 64-Bit-ARM-Plattformen. Dort können entfernte Angreifer mit einer Timing-Side-Channel-Attacke im Kontext von SM2-Signaturen private Schlüssel rekonstruieren.

Die dritte Schwachstelle (CVE-2025-9232 „mittel„) kann zu DoS-Zuständen führen. Um die geschilderten Attacken vorzubeugen, sollten Admins zeitnah eine der abgesicherten Versionen installieren:

• OpenSSL 1.0.2zm (Premium-Support)
• OpenSSL 1.1.1zd (Premium-Support)
• OpenSSL 3.0.18
• OpenSSL 3.2.6
• OpenSSL 3.3.5
• OpenSSL 3.4.3
• OpenSSL 3.5.4

(des)