Die OpenSSL-Entwickler haben am 30. September 2025 drei Sicherheitslücken bekanntgegeben, die verschiedene Versionen der Bibliothek betreffen.
• CVE-2025-9230: Out-of-bounds Read & Write im RFC 3211 KEK Unwrap kann zu Abstürzen, Speicherfehlern oder potenziell Codeausführung führen. Betroffen sind OpenSSL 3.5, 3.4, 3.3, 3.2, 3.0, 1.1.1 und 1.0.2.
• CVE-2025-9231: Timing-Side-Channel im SM2-Algorithmus auf 64-Bit-ARM-Systemen könnte unter bestimmten Umständen den privaten Schlüssel offenlegen. Betroffen sind OpenSSL 3.5 bis 3.2.
• CVE-2025-9232: Out-of-bounds Read in der HTTP-Client-Implementierung kann einen Absturz verursachen, wenn bestimmte Umgebungsvariablen gesetzt sind. Betroffen sind OpenSSL 3.5 bis 3.0.
Die Schwachstellen wurden als moderat bzw. niedrig eingestuft, dennoch raten die Entwickler dringend zum Update auf die neuesten Versionen (u. a. 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18).
