Die Verantwortlichen des OpenSSL-Projekts haben Patches veröffentlicht, um einen hochgradig gefährlichen Fehler in der kryptografischen Bibliothek zu beheben, der in bestimmten Szenarien zur Remotecodeausführung führen kann.
Der Fehler mit der Kennung CVE-2022-2274 wurde als Heap-Memory Corruption bei der RSA Private Key Operation beschrieben, die in der am 21. Juni 2022 veröffentlichten OpenSSL-Version 3.0.4 eingeführt wurde.
OpenSSL wurde erstmals 1998 veröffentlicht und ist eine universelle Kryptografiebibliothek, die eine Open-Source-Implementierung der Secure Sockets Layer (SSL)- und Transport Layer Security (TLS)-Protokolle bietet und es den Nutzern ermöglicht, private Schlüssel zu generieren, CSRs (Certificate Signing Requests) zu erstellen und SSL/TLS-Zertifikate zu installieren.
„SSL/TLS-Server oder andere Server, die private 2048-Bit-RSA-Schlüssel verwenden und auf Rechnern laufen, die AVX512IFMA-Befehle der X86_64-Architektur unterstützen, sind von diesem Problem betroffen“, heißt es in dem Advisory.
Die Verantwortlichen sprechen von einem „schwerwiegenden Fehler in der RSA-Implementierung“ und erklären, dass die Schwachstelle zu einer Beschädigung des Speichers während der Berechnung führen kann, die von einem Angreifer ausgenutzt werden kann, um Remotecode auf dem Rechner auszuführen, der die Berechnung ausführt.
Xi Ruoyao, ein Doktorand an der Xidian Universität, meldete den Fehler am 22. Juni 2022 an OpenSSL. Den Nutzern der Bibliothek wird empfohlen, auf die OpenSSL-Version 3.0.5 zu aktualisieren, um mögliche Bedrohungen zu entschärfen.