2025-2713: OpenSSL, LibreSSL: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe
Historie:
- Version 1 (2025-10-02 13:02)
- Neues Advisory
Betroffene Software
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Container
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Denial-of-Service (DoS)-Angriffe durchzuführen und möglicherweise beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Die Schwachstellen werden für die jeweiligen Versionszweige von OpenSSL mit den Versionen 3.5.4, 3.4.3, 3.3.5 und 3.2.6 behoben. Der Versionszweig 3.0 ist nur von CVE-2025-9230 und CVE-2025-9232 betroffen, die hier mit Version 3.0.18 adressiert werden. Die Versionszweige 1.1.1 und 1.0.2 (nur mit Premium Support) sind nur von CVE-2025-9230 betroffen. Diese Schwachstelle wird mit den Versionen 1.1.1zd und 1.0.2zm behoben.
Das FreeBSD-Projekt stellt zur Behebung der Schwachstelle im Modul 'openssl' Sicherheitsupdates für die stabilen Versionen 14.3-STABLE und 13.5-STABLE sowie die korrigierten Versionen 14.3-RELEASE-p4, 14.2-RELEASE-p7 und 13.5-RELEASE-p5 bereit. Die Schwachstelle CVE-2025-9230 betrifft hierbei FreeBSD 14.x und 13.x, die Schwachstelle CVE-2025-9232 nur den Versionszweig 14.x.
Zur Behebung der Schwachstelle CVE-2025-9230 stehen darüber hinaus LibreSSL 4.0.1 und 4.1.1 sowie Quellcodepatches für OpenBSD 7.6 und 7.7 zur Verfügung.
Für Debian 12 Bookworm (oldstable) steht Version 3.0.17-1~deb12u3 und für Debian 13 Trixie (stable) steht Version 3.5.1-1+deb13u1 von 'openssl' bereit, um die Schwachstelle zu beheben.
Für Basesystem Module 15 SP6, Development Tools Module 15 SP6, Legacy Module 15 SP6, openSUSE Leap 15.4, 15.5 und 15.6 und SUSE Enterprise Storage 7.1, für die SUSE Linux Enterprise Produkte Desktop 15 SP6, High Performance Computing 15 SP3, 15 SP4, 15 SP5, 15 SP4 ESPOS, 15 SP5 ESPOS, 15 SP3 LTSS, 15 SP4 LTSS und 15 SP5 LTSS, Micro 5.1, 5.2, 5.3, 5.4 und 5.5, Micro for Rancher 5.2, 5.3 und 5.4, Real Time 15 SP6, Server 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS, 15 SP5, 15 SP5 LTSS und 15 SP6 und Server for SAP Applications 15 SP3, 15 SP4, 15 SP5 und 15 SP6 sowie für die SUSE Manager Produkte Proxy 4.3 und 4.3 LTS, Retail Branch Server 4.3 und 4.3 LTS und Server 4.3 und 4.3 LTS stehen Sicherheitsupdates für 'openssl-1_1' bereit, um die Schwachstelle CVE-2025-9230 zu beheben.
Für Basesystem Module 15 SP6 und openSUSE Leap 15.4, 15.5 und 15.6, für die SUSE Linux Enterprise Produkte Desktop 15 SP6, High Performance Computing 15 SP4, 15 SP5, 15 SP4 ESPOS, 15 SP5 ESPOS, 15 SP4 LTSS und 15 SP5 LTSS, Micro 5.3 und 5.4, Micro for Rancher 5.3 und 5.4, Real Time 15 SP6, Server 15 SP4, 15 SP4 LTSS, 15 SP5, 15 SP5 LTSS und 15 SP6 und Server for SAP Applications 15 SP4, 15 SP5 und 15 SP6 sowie für die SUSE Manager Produkte Proxy 4.3 und 4.3 LTS, Retail Branch Server 4.3 und 4.3 LTS und Server 4.3 und 4.3 LTS stehen Sicherheitsupdates für 'openssl-3' bereit, um die Schwachstelle CVE-2025-9230 zu beheben.
Für Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS und 25.04 stehen Sicherheitsupdates für 'openssl1.0' und 'openssl' bereit, um die Schwachstellen zu beheben. Die Schwachstellen CVE-2025-9231 und CVE-2025-9232 betreffen dabei nur Ubuntu 25.04.
Schwachstellen:
CVE-2025-9230
Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-AngriffCVE-2025-9231
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2025-9232
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.