Die Sicherheitslücke CVE-2022-0778 mit einem Score von 7.5 wurde von den OpenSSL Entwicklern am 15. März 2022 gemeldet.
Ein Fehler in der Funktion BD-mod-sqrt() Funktion kann dazu genutzt werden, eine Endlosschleife zu generieren. Dadurch wird jeweils eine CPU-Core komplett ausgelastet. Mehrere entsprechende Verbindungen mit einem solchen TLS-Zertifikat sorgen dann dafür, dass der Server nicht mehr erreichbar ist.
Betroffen sind OpenSSL Version 1.0.2, 1.1.1 und 3.0.
- Patches sind in 1.1.1n und 3.0.2 enthalten.
- Den Patch 1.0.2zd gibt es nur für Premium-Support Kunden.
- Für 1.1.0 ist der Support ausgelaufen, hier wird kein Patch seitens OpenSSL angeboten.
Die Linux Distributionen reagieren aktuell schon:
Oracle hat die Patches in der Nacht vom 20. auf den 21. März zumindest für OL7 und OL8 zur Verfügung gestellt (openssl und openssl-libs 1.0.2k-24.0.3.el7_9)
Empfehlung
Der Grund, warum der Score nur bei 7.5 liegt, ist unter anderem, dass “nur” der Server lahmgelegt werden kann. Ein Zugriff auf den Server ist nicht möglich. Da der Fehler sehr einfach auszunutzen ist, sollten alle Server, die vom Internet aus erreichbar sind, umgehend gepatched werden. Server ohne Exposition können auch mit dem nächsten geplanten Betriebssystempatch aktualisiert werden.