OpenSSL-lek kan remote code execution mogelijk maken

[Captain Kirk]

Een kwetsbaarheid in OpenSSL kan in bepaalde gevallen remote code execution op systemen mogelijk maken. Er zijn nieuwe versies van de software beschikbaar gesteld waarin het probleem, aangeduid als CVE-2025-15467, is verholpen. Bij het verwerken van bepaalde CMS (Cryptographic Message Syntax) messages, voorzien van speciaal geprepareerde parameters, kan er een stack buffer overflow ontstaan die kan leiden tot een crash en mogelijk remote code execution.

"Applicaties en services die onbetrouwbare CMS of PKCS#7 content verwerken met behulp van AEAD ciphers (bijvoorbeeld S/MIME AuthEnvelopedData met AES-GCM) zijn kwetsbaar. Omdat de overflow zich voor de authenticatie voordoet is er geen geldig key materiaal vereist om het te veroorzaken", aldus het beveiligingsbulletin. De mogelijkheid tot remote code execution misbruik hangt volgens het OpenSSL-team af van het betreffende platform, maar de ontwikkelaars waarschuwen dat de "stack-based write primitive" een ernstig risico vormt.

De kwetsbaarheid is aanwezig in OpenSSL 3.6, 3.5, 3.4, 3.3 en 3.0. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. De impact is beoordeeld als "High". Dergelijke kwetsbaarheden worden zelden in OpenSSL gevonden. De afgelopen drie jaar ging het om slechts twee van dergelijke beveiligingslekken. Gebruikers worden opgeroepen om te upgraden naar OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 of 3.0.19. Deze versies verhelpen ook verschillende andere kwetsbaarheden, maar de impact daarvan is lager beoordeeld.

OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

 

bron: https://www.security.nl