SchwachstellenDatenschutzCyberkriminalität

OpenSSL: Sicherheitslücke ermöglicht Datenlecks – sieben Schwachstellen gepatcht

OpenSSL: Sicherheitslücke ermöglicht Datenlecks – sieben Schwachstellen gepatcht
Zusammenfassung

OpenSSL, eine der weltweit wichtigsten Bibliotheken für Verschlüsselung und sichere Kommunikation, hat sieben Sicherheitslücken bekommen, die in den neuesten Updates geschlossen wurden. Die kritischste davon ist eine Datenlecks-Anfälligkeit (CVE-2026-31790) mit mittlerem Schweregrad, die es Angreifern ermöglicht, sensible Daten aus dem Arbeitsspeicher auszulesen. Das Problem liegt darin, dass OpenSSL in einigen Fällen nicht korrekt überprüft, ob die Verschlüsselung erfolgreich war, und dennoch eine Erfolgsmeldung zurückgibt – wodurch uninitialisierte Speicherpuffer mit potenziell vertraulichen Daten von vorherigen Prozessausführungen offengelegt werden. Die Schwachstelle betrifft die OpenSSL-Versionen 3.6, 3.5, 3.4, 3.3 und 3.0. Für deutsche Nutzer, Unternehmen und Behörden ist dies besonders relevant, da OpenSSL in unzähligen Anwendungen, Webservern und Infrastruktur-Komponenten Einsatz findet – von E-Mail-Servern bis zu Cloud-Plattformen. Ein promptes Einspielen der Sicherheitsupdates ist daher essentiell, um Datenabflüsse und Kompromittierungen zu verhindern.

Die OpenSSL-Stiftung hat Anfang 2026 sieben Sicherheitslücken in ihrer kryptografischen Bibliothek geschlossen. Während die meisten als niedrig kritisch eingestuft sind, ragt eine Schwachstelle heraus: CVE-2026-31790, die zu Datenlecks führen kann.

Das Datenleck-Problem

Die als moderat bewertet Lücke betrifft eine spezifische Konfiguration: Anwendungen, die RSA-SVE (RSA Secure Value Encapsulation) zur Schlüsselvereinbarung nutzen. Das Sicherheitsproblem liegt in einer fehlerhaften Verifikation. “OpenSSL überprüft manchmal nicht ordnungsgemäß, ob die Verschlüsselung erfolgreich war, gibt aber dennoch eine Erfolgsmeldung zurück”, erklären die Entwickler. Dadurch können Daten aus einem nicht initialisierten Speicherpuffer freigelegt werden. “Dieser Puffer kann sensible Daten aus früheren Ausführungen des Prozesses enthalten”, warnen die OpenSSL-Entwickler. Das bedeutet: Angreifer könnten potenziell private Schlüssel oder andere vertrauliche Informationen abgreifen.

Betroffene Versionen und DoS-Lücken

Versionen 3.0 bis 3.6 sind anfällig. OpenSSL 1.0.2 und 1.1.1 sind nicht betroffen. Die verbleibenden sechs Lücken wurden alle als niedrig kritisch klassifiziert. Die meisten ermöglichen Denial-of-Service-Angriffe (DoS), bei denen Anwendungen zum Absturz gebracht werden.

Zwei der Lücken könnten theoretisch zu willkürlicher Code-Ausführung führen. Eine betrifft jedoch eine seltene OpenSSL-Konfiguration, die andere erfordert das Versenden eines speziell präparierten 1-Gigabyte-großen X.509-Zertifikats – ein unrealistisches Angriffszenario.

Trend der Schwachstellen

Dies ist bereits das zweite OpenSSL-Update mit Sicherheitspatches im ersten Quartal 2026. Im Januar wurden zwölf Lücken geschlossen, darunter ein kritisches Remote-Code-Execution-Leck. Insgesamt zeigt sich: Hochkritische Schwachstellen in OpenSSL werden seltener. 2025 gab es nur eine Lücke dieser Stufe.

Handlungsbedarf für Unternehmen

Für Entwickler und Systemadministratoren bedeutet dies: Ein Update ist dringend empfohlen, insbesondere wenn RSA-SVE im Einsatz ist. Auch wenn die meisten Lücken niedrig kritisch sind, können DoS-Angriffe Produktionssysteme lahmlegen. OpenSSL ist ubiquitär in Web-Servern, VPN-Anwendungen und IoT-Geräten verankert – eine schnelle Patchwelle ist angeraten.

Ähnliche Artikel