Am 11. Dezember 2024 wurde die Sicherheitslücke CVE-2024-45337 in der Go-Bibliothek golang.org/x/crypto bekannt. Die Schwachstelle betrifft Anwendungen und Bibliotheken, die die Funktion ServerConfig.PublicKeyCallback fehlerhaft nutzen, und kann zu einem Autorisierungsbypass führen.
Die Funktion PublicKeyCallback prüft, ob ein übermittelter öffentlicher Schlüssel akzeptabel ist, garantiert jedoch nicht, dass der Schlüssel tatsächlich zur Authentifizierung verwendet wird. Dieses Verhalten, kombiniert mit der Möglichkeit, dass PublicKeyCallback mehrmals für verschiedene Schlüssel aufgerufen wird, kann von Angreifern ausgenutzt werden. Ein Angreifer könnte beispielsweise zwei öffentliche Schlüssel, A und B, übermitteln und sich mit Schlüssel A authentifizieren. Eine anfällige Anwendung könnte jedoch basierend auf Schlüssel B Sicherheitsentscheidungen treffen, selbst wenn der Angreifer den privaten Schlüssel zu B nicht besitzt.
Um die potenzielle Fehlanwendung der API zu entschärfen, wurde in Version 0.31.0 der Bibliothek sichergestellt, dass PublicKeyCallback nun mehrfach mit dem tatsächlich verwendeten Schlüssel aufgerufen wird, um den Authentifizierungsprozess konsistenter zu gestalten. Es bleibt jedoch möglich, dass ein anderer Authentifizierungsmechanismus wie PasswordCallback oder NoClientAuth verwendet wird, wodurch weiterhin Vorsicht geboten ist.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: