OpenSSL-Sicherheitslücken: Kritische Schwachstellen bedrohen Authentifizierungssysteme

Mehrere schwerwiegende Sicherheitslücken in der weit verbreiteten Kryptografie-Bibliothek OpenSSL sorgen für weltweite Update-Wellen. Betroffen sind vor allem Authentifizierungssysteme und Verschlüsselungsmechanismen.

Die OpenSSL Software Foundation und verschiedene Sicherheitsforschungseinrichtungen haben in den vergangenen Tagen eine Reihe von Schwachstellen offengelegt. Die gravierendsten betreffen Fehler in der HMAC-Authentifizierung und der RSA-Verschlüsselung, die Angreifern potenziell den Zugriff auf vertrauliche Daten ermöglichen. Die Enthüllungen kommen nur wenige Wochen nach der Veröffentlichung von OpenSSL 4.0.0 Mitte April.

Die Entdeckung solch kritischer Sicherheitslücken in Basis-Technologien wie OpenSSL unterstreicht die Notwendigkeit einer proaktiven IT-Strategie. Dieser kostenlose Report klärt auf, welche neuen rechtlichen Pflichten und Cyberbedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken: Was jetzt auf Ihr Unternehmen zukommt

Authentifizierungslücke durch leeren Schlüssel

Die als CVE-2026-45363 eingestufte Schwachstelle stellt eine ernste Bedrohung für moderne Web-Authentifizierungssysteme dar – insbesondere für solche, die auf JSON Web Tokens (JWT) setzen. Das Problem: Die HMAC-Implementierung gibt einen gültigen Wert zurück, selbst wenn ein leerer Schlüssel übergeben wird.

In einer sicheren Konfiguration müsste der Vorgang fehlschlagen. Doch Forscher entdeckten, dass die Digest-Funktion auch bei einem leeren Schlüssel ein gültiges Ergebnis liefert. Besonders gefährlich ist dies in Umgebungen, in denen Schlüsselsuchfunktionen aufgrund von Fehlkonfigurationen oder Datenbankfehlern leere Werte zurückgeben.

Der CVSS-Score von 7,4 spiegelt die hohe Gefährdung von Vertraulichkeit und Integrität wider. Zwar ist die Ausnutzung im echten Betrieb komplex, doch das Potenzial für einen breiten Authentifizierungs-Bypass macht die Lücke zur Priorität für Entwickler von Identitätsmanagement-Diensten.

RSA-Verschlüsselung: Speicherleck durch Logikfehler

Eine weitere Schwachstelle (CVE-2026-31790) betrifft den RSA Key Encapsulation Mechanismus (KEM). Der Fehler liegt in der Fehlerbehandlung des RSASVE-Prozesses, der zur Etablierung geheimer Verschlüsselungsschlüssel dient.

Normalerweise gibt die RSA-Funktion bei einem Fehler den Wert -1 zurück. Betroffene OpenSSL-Versionen prüfen jedoch nur, ob der Rückgabewert ungleich Null ist. Da -1 ungleich Null ist, behandelt die Bibliothek einen Verschlüsselungsfehler fälschlich als Erfolg – und arbeitet mit nicht initialisiertem Speicher weiter.

Sicherheitsexperten warnen: Ein bösartiger Peer könnte durch die Übergabe eines manipulierten RSA-Schlüssels bis zu 255 Byte private Daten aus vorherigen Ausführungszyklen der Anwendung abgreifen. Obwohl das OpenSSL-Projekt die Schwachstelle zunächst als moderat einstufte, hat die weite Verbreitung von RSA in Mail-Gateways und Zertifikatsmanagement-Tools zu einer dringlicheren Reaktion geführt.

Branchenweite Patch-Offensive

Die Offenlegung hat eine massive Update-Welle ausgelöst. Dell Technologies veröffentlichte am 13. Mai das Sicherheitsupdate DSA-2026-144 mit BIOS-Level-Korrekturen für mehrere OpenSSL-Schwachstellen auf Client-Plattformen.

Die Deepin-Community folgte am 15. Mai mit einem dringenden Sicherheitsupdate für 13 Schwachstellen. Ihr Advisory hob mehrere hochriskante Fehler hervor, darunter Stack-Buffer-Overflows in der CMS AuthEnvelopedData-Parsing-Funktion, die potenziell Remote-Code-Ausführung ermöglichen.

Bereits am 17. Mai wurde die Perl-Wrapper-Schwachstelle CVE-2026-8721 geschlossen. Sie führte zur stillen Verkürzung von Passwörtern mit eingebetteten NULL-Zeichen – ein gravierendes Problem für die Passwortsicherheit.

Angesichts der weltweiten Update-Wellen sollten Unternehmen ihre IT-Sicherheit nicht nur reaktiv, sondern auch präventiv verstärken. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken ohne teure Investitionen: So schützen Sie Ihre Firma

Analyse: Logikfehler auf dem Vormarsch

Die aktuelle Welle offenbart die Komplexität der OpenSSL-Pflege. Der Übergang zu Version 4.0.0 sollte Leistung und Architektur modernisieren, doch tiefsitzende Logikfehler wie CVE-2026-45363 zeigen: Legacy-Code birgt weiterhin Risiken.

Sicherheitsanalysten beobachten einen Wandel: Während hochkritische Remote-Code-Ausführungs-Bugs seltener werden, nehmen Logik- und Parsing-Schwachstellen zu. Die im Januar und April behandelten Fehler waren meist niedrigschwellige Denial-of-Service-Probleme. Die aktuellen Entdeckungen zielen dagegen auf die logische Integrität von kryptografischen Handshakes ab.

Handlungsempfehlungen

Das OpenSSL-Projekt empfiehlt allen Nutzern der 3.x- und 4.x-Zweige den Umstieg auf die aktuellen Patch-Versionen: 3.6.2, 3.5.6, 3.4.5, 3.3.7 und 3.0.20. Organisationen sollten eine umfassende Prüfung aller abhängigen Systeme durchführen – insbesondere bei S/MIME-Verarbeitung, Zertifikatsmanagement und Identity-as-a-Service-Plattformen.

Die Priorität für IT-Abteilungen ist klar: Die Patches für die HMAC- und RSA-KEM-Schwachstellen müssen umgehend eingespielt werden, um unbefugten Zugriff und Datenlecks zu verhindern.

de | wissenschaft | 69372228 |