Tre nye OpenSSL-sårbarheder

OpenSSL-projektet har frigivet sikkerhedsopdateringer, der adresserer tre nyligt identificerede sårbarheder med potentielt alvorlige konsekvenser for systemer, der benytter SSL/TLS til kryptering og kommunikation.  

Det skriver Security Affairs.

De tre CVE’er dækker over forskellige angrebsvektorer, herunder kodeeksekvering, nøglekompromittering og Denial of Service (DoS). De har følgende karakteristika:

• EUVD-2025-31729 / CVE-2025-9230 (CVSS 7,5): Hukommelseskorruption via PWRI. Sårbarheden relaterer sig til CMS-dekryptering med passwordbaseret kryptering (PWRI). Den kan udløse out-of-bounds læsning og skrivning, hvilket kan føre til nedbrud eller potentielt kodeeksekvering. Selvom brugen af PWRI er begrænset, og risikoen vurderes som moderat, anbefales opdatering for at eliminere muligheden for udnyttelse. “Konsekvenserne kan være alvorlige, men sandsynligheden for udnyttelse er lav,” lyder det fra OpenSSL’s advisory.
• EUVD-2025-31728 / CVE-2025-9231 (CVSS 6,5): Timing side-channel på ARM64.  Denne sårbarhed påvirker SM2-signaturberegninger på 64-bit ARM-platforme og kan potentielt bruges til at udlede private nøgler via præcise tidsmålinger. Selvom SM2 ikke er standard i TLS, kan tilpassede leverandører aktivere det, hvilket gør sårbarheden relevant i visse kontekster. Remote udnyttelse er teoretisk mulig.
• EUVD-2025-31727 / CVE-2025-9232 (CVSS 5,9): Denbe sårbarhed kan forårsage nedbrud og DoS-tilstande.  

Berørte versioner og opdateringer

Følgende versioner af OpenSSL indeholder rettelser:

• 3.5.4
• 3.4.3
• 3.3.5
• 3.2.6
• 3.0.18
• 1.1.1zd
• 1.0.2zm

Det anbefales, at organisationer sikrer, at deres systemer benytter en af de opdaterede versioner, især hvis der anvendes ARM64-platforme eller CMS-funktionalitet.