Ein autonomes KI-Analysesystem namens AISLE hat sämtliche 12 Sicherheitslücken entdeckt, die OpenSSL im koordinierten Januar-2026-Release behoben hat. Dies stellt einen Meilenstein in der automatisierten Schwachstellenanalyse dar, da OpenSSL als eine der am intensivsten geprüften Codebases weltweit gilt. Einige der gefundenen Schwachstellen existierten seit Jahrzehnten – eine davon seit 1998. Die Entdeckungen umfassen eine hochkritische Remote Code Execution-Schwachstelle (CVE-2025-15467) durch Stack Buffer Overflow beim CMS AuthEnvelopedData-Parsing, die vor jeder Authentifizierung ausgelöst werden kann.
Die Schwachstellen betreffen verschiedenste Subsysteme: PKCS#12-Verarbeitung (mehrere CVEs mit NULL-Pointer-Dereferenzierungen und Buffer Overflows), TLS 1.3 Zertifikatskompression (CVE-2025-66199, bis 22 MiB Speicherallokation pro Verbindung), QUIC-Protokoll, Post-Quantum-Signaturen (ML-DSA), OCB-Verschlüsselung auf Hardware-beschleunigten Pfaden und TimeStamp-Response-Verifikation. AISLE lieferte für 5 der 12 CVEs auch direkt Patches, die von OpenSSL übernommen wurden. Zusätzlich identifizierte das System 6 weitere Bugs, die vor der Veröffentlichung behoben wurden.
Betroffene Versionen: Je nach CVE OpenSSL 3.0 bis 3.6, teilweise auch 1.1.1 und 1.0.2. Die hochkritische CVE-2025-15467 betrifft OpenSSL 3.0-3.6.
Erkennung: Prüfen Sie Ihre OpenSSL-Version mit openssl version. Betroffen sind vor allem Systeme, die CMS/PKCS#7 mit AEAD-Chiffren verarbeiten, PKCS#12-Dateien aus nicht vertrauenswürdigen Quellen akzeptieren oder TLS 1.3 mit Zertifikatskompression nutzen.
Empfehlung: Sofortiges Update auf OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 oder 3.0.19. Für TLS 1.3 kann SSL_OP_NO_RX_CERTIFICATE_COMPRESSION als Workaround gesetzt werden.
Quellen: https://openssl-library.org/news/secadv/20260127.txt | https://aisle.com/blog/openssl-vulnerabilities
