Plattform
other
Komponente
public_key
Behoben in
*
*
*
*
CVE-2026-32144 describes an Improper Certificate Validation vulnerability within the Erlang OTP publickey module (specifically, the pubkeyocsp_validate/5 function). This flaw allows an attacker to bypass OCSP (Online Certificate Status Protocol) authorization checks by exploiting a lack of signature verification on responder certificates. Versions 1.16.0 and later are affected, and a fix is expected to be released soon.
Die CVE-2026-32144-Schwachstelle in Erlang OTP (Modul pubkeyocsp) stellt ein erhebliches Sicherheitsrisiko dar, da ein fehlerhafter Zertifikatsvalidierungsprozess vorliegt. Insbesondere überprüft die OCSP-Antwortvalidierung in publickey:pkixocspvalidate/5 nicht, ob ein von der CA benannter Responder-Zertifikat kryptografisch von der ausstellenden CA signiert wurde. Stattdessen wird nur überprüft, ob der Herausgebername des Responder-Zertifikats mit dem Subject-Namen der CA übereinstimmt und ob das Zertifikat die OCSPSigning-Erweiterung besitzt. Diese Versäumnis ermöglicht es einem Angreifer, potenziell ein nicht autorisiertes Responder-Zertifikat vorzulegen, die OCSP-Validierung zu umgehen und das Vertrauen in die Zertifikatskette zu kompromittieren. Dies könnte dazu führen, dass betrügerische OCSP-Antworten akzeptiert werden, was potenziell zur Akzeptanz ungültiger Zertifikate und letztendlich zu Man-in-the-Middle-Angriffen führen könnte.
Diese Schwachstelle wird ausgenutzt, indem ein bösartiges OCSP-Responder-Zertifikat vorgelegt wird, das nicht von der ausstellenden CA signiert ist, aber einen Herausgebernamen hat, der mit der CA übereinstimmt. Ein Angreifer könnte ein gefälschtes Responder-Zertifikat erstellen und es als OCSP-Responder für eine bestimmte Domäne konfigurieren. Wenn eine Erlang OTP-Anwendung versucht, ein Zertifikat mithilfe von OCSP zu validieren, wird sie auf die Antwort des gefälschten Responders vertrauen, da die Validierung der Responder-Zertifikatsignatur entfällt. Dies ermöglicht dem Angreifer, die Zertifikatsvalidierung zu kontrollieren und potenziell Man-in-the-Middle-Angriffe durchzuführen.
Applications and systems utilizing Erlang OTP versions 1.16.0 and later for certificate validation, particularly those handling sensitive data or operating in untrusted network environments, are at risk. This includes systems relying on Erlang OTP for TLS/SSL connections and those integrated with third-party services that require certificate verification.
disclosure
Exploit-Status
EPSS
0.04% (14% Perzentil)
CISA SSVC
Die empfohlene Lösung ist, Erlang OTP auf eine Version zu aktualisieren, die die Korrektur für CVE-2026-32144 enthält. Entwickler sollten ihre Anwendungen überprüfen und aktualisieren, die die public_key-Bibliothek von OTP verwenden. Als vorübergehende Maßnahme sollten Sie in der Zwischenzeit die Verwendung von OCSP für die Zertifikatsvalidierung vermeiden, wenn dies möglich ist, oder zusätzliche Validierungen außerhalb der OTP-Bibliothek implementieren, um die Authentizität des Responder-Zertifikats zu überprüfen. Das Anwenden von Sicherheitspatches ist entscheidend, um dieses Risiko zu mindern. Es wird auch empfohlen, die offiziellen Erlang OTP-Quellen auf die neuesten Sicherheitsupdates und Richtlinien zu überwachen. Darüber hinaus sollten Sie strengere Sicherheitsrichtlinien in Bezug auf die OCSP-Konfiguration implementieren.
Aktualisieren Sie die Bibliothek (public_key) auf Version 1.20.4 oder höher, oder die Bibliothek (ssl) auf Version 11.5.5 oder höher, oder OTP auf Version 28.4.3 oder höher, um die Vulnerabilität zu entschärfen. Das Update behebt das Fehlen der Signaturprüfung in OCSP-Antworten und verhindert so die Fälschung von Zertifikaten.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
OCSP (Online Certificate Status Protocol) ist ein Protokoll, das es Clients ermöglicht, den Widerrufsstatus eines digitalen Zertifikats zu überprüfen. Es ist wichtig, da es dazu beiträgt, die Verwendung von Zertifikaten zu verhindern, die von der ausstellenden CA widerrufen wurden.
Direkt wirkt sie nur auf Anwendungen, die die public_key-Bibliothek von Erlang OTP verwenden. Wenn eine Anwendung jedoch von einer anderen abhängt, die OTP verwendet und diese anfällig ist, kann sie indirekt betroffen sein.
Als vorübergehende Maßnahme können Sie OCSP deaktivieren oder zusätzliche Validierungen außerhalb der OTP-Bibliothek implementieren, um die Authentizität des Responder-Zertifikats zu überprüfen.
Sie finden weitere Informationen auf den offiziellen Erlang OTP-Quellen und in Schwachstellen-Datenbanken wie dem NVD (National Vulnerability Database).
Aktualisieren Sie Erlang OTP so schnell wie möglich auf die neueste verfügbare Version. Wenn dies nicht möglich ist, implementieren Sie die empfohlenen vorübergehenden Abhilfemaßnahmen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.