Sicherheitslücken in der Verschlüsselungs-Suite OpenSSL ermöglichen Angreifern unter Umständen, beliebigen Code einzuschleusen und auszuführen. Die Entwickler von OpenSSL haben neue Softwareversionen veröffentlicht, die diese und eine weitere Schwachstelle schließen. Die gravierendere Schwachstelle betrifft OpenSSL 3.0.4, das am 21. Juni veröffentlicht wurde. Darin haben die Entwickler laut eigener Beschreibung einen ernsthaften Fehler eingebaut, der die RSA-Implementierung auf Prozessoren mit Unterstützung für die AVX-512 IFMA-Befehlssatzerweiterung betrifft. Die Implementierung mit privaten Schlüsseln mit 2048-Bit ist nicht korrekt und ein Speicherfehler tritt bei der Berechnung auf. Ein Angreifer könnte als Folge davon aus dem Internet Code einschleusen und ausführen (CVE-2022-2274, noch kein CVSS-Score, Risiko „hoch“). Zwar seien lediglich Server mit der Befehlssatzerweiterung AVX-512 IFMA betroffen, doch das sind eigentlich alle aktuellen: die Intel-Generationen Canon Lake, Ice Lake, Rocket Lake, Tiger Lake und die aktuellen CPUs der Alder Lake-Serie; Centaur CNS Core und schließlich AMDs Zen4-Architektur. Einige Hintergründe analysiert Guido Vranken in seinem Blog – er würde die Lücke als schlimmer als Heartbleed einschätzen, lediglich die Nebenbedingungen schränkten dies ein: Die meisten nutzten noch OpenSSL 1.1.1, die Lücke sei erst einige Tage alt und zudem müssen die Befehlssatzerweiterungen AVX-512 IFMA vorhanden sein. Eine weitere Sicherheitslücke betrifft die AES-Verschlüsselung im Offset Codebook Mode (OCB). Die optimierte Implementierung für 32-Bit x86-Prozessoren mit der Befehlssatzerweiterung AES-NI verschlüsselt unter Umständen die Daten nicht vollständig. Dadurch könnten 16 Bytes an Daten offenliegen, die in dem Speicher liegen, der nicht geschrieben wurde. Im Sonderfall der „In-Place“-Verschlüsselung würde das 16 Byte im Klartext offenlegen (CVE-2022-2097, noch ohne CVSS-Score, Risiko „moderat“). Die OpenSSL-Entwickler legen in ihrer Sicherheitsmeldung Wert darauf zu erwähnen, dass OpenSSL für die TLS- und DTLS-Verschlüsselung keine OCB-basierte Verschlüsselung anbietet. Von dem Fehler betroffen sind OpenSSL 1.1.1 und 3.0. Das OpenSSL-Projekt hat die Versionen 1.1.1q sowie 3.0.5 veröffentlicht, die die Fehler nicht mehr enthalten. Administratoren mit der OpenSSL-Version aus dem 3er-Zweig sollten zügig ein Wartungsfenster zur Aktualisierung ihrer Installation einplanen, um die Angriffsfläche zu minimieren. Der Fehler in der AES-Verschlüsselung dürfte zwar nur selten zum Tragen kommen, dennoch sollten IT-Verantwortliche die Updates auch dafür bei der nächsten Wartung installieren.