Eine maximal kritische Sicherheitslücke in der Bibliothek xml-crypto, die in Versionen von 4.0.0 bis 5.9.9 vorhanden ist, ermöglicht es Angreifern, die Signaturüberprüfung von XML-Dokumenten zu umgehen. Dieses Problem wurde in der neuesten Version 6.0.0 behoben, wie aus einem kürzlich veröffentlichten Bericht hervorgeht.
Die Schwachstelle, identifiziert als CVE-2024-32962, betrifft die Art und Weise, wie xml-crypto Signaturen in XML-Dokumenten verifiziert. Standardmäßig überprüft die Bibliothek lediglich die Gültigkeit der Signatur gemäß Abschnitt 3.2.2 der W3C Spezifikation, ohne die Autorisierung des Signierers zu validieren. Dadurch kann ein Angreifer ein XML-Dokument neu signieren, das gefälschte Zertifikat in ein <KeyInfo />
-Element einfügen und die Standardüberprüfungen der xml-crypto Bibliothek passieren.
Das Hauptproblem liegt darin, dass xml-crypto standardmäßig jedem Zertifikat vertraut, das über das <KeyInfo />
-Element eines digital signierten XML-Dokuments bereitgestellt wird. Dies stellt ein signifikantes Risiko dar, da Angreifer durch Modifizieren des XML-Dokuments und Ersetzen der vorhandenen Signatur durch eine mit einem bösartigen privaten Schlüssel erzeugte Signatur die Verifikationsprozesse manipulieren können.
Um dieses Risiko zu mindern, wurden in der neuesten Version von xml-crypto (6.0.0) Änderungen vorgenommen, die die implizite Nutzung der Standardimplementierung von getCertFromKeyInfo
deaktivieren. Nutzer der betroffenen Versionen werden dringend aufgefordert, entweder auf die gepatchte Version zu aktualisieren oder ihre Konfiguration so anzupassen, dass sie ein explizit konfiguriertes öffentliches Zertifikat oder privaten Schlüssel für die Signaturprüfung verwenden.
Die Schwachstelle hat eine kritische Bewertung mit einem CVSS-Score von 10.0 / 10.0 erhalten, was auf das maximale Risiko für Vertraulichkeit und Integrität sowie die geringe Komplexität des Angriffs hinweist. Nutzer von xml-crypto sollten ihre Systeme umgehend überprüfen und entsprechende Sicherheitsmaßnahmen ergreifen, um sich gegen mögliche Angriffe zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: