Plattform
openssl
Komponente
openssl
Behoben in
3.6.2
CVE-2026-34054 is a high-severity vulnerability affecting OpenSSL versions up to 3.6.1#3 within the vcpkg package manager. This issue arises from an incorrect configuration during the Windows build process, where the openssldir path is set to a location on the build machine, potentially exposing it to attacks on customer systems. The vulnerability is patched in version 3.6.1#3, and users are strongly advised to upgrade.
CVE-2026-34054 betrifft Windows-Builds von OpenSSL, die von vcpkg verwaltet werden, einem kostenlosen und Open-Source-C/C++-Paketmanager. Vor Version 3.6.1#3 setzte vcpkg die Variable openssldir auf einen Pfad auf der Build-Maschine. Dies bedeutete, dass dieser Pfad und potenziell die zugehörige OpenSSL-Konfiguration während der Softwareinstallation an Kundensysteme übertragen werden konnten. Ein Angreifer könnte dies theoretisch ausnutzen, um die Sicherheit einer Anwendung zu gefährden, wenn der Pfad missbraucht wird oder unautorisierter Zugriff darauf möglich ist. Der CVSS-Score von 7,8 weist auf eine Schwachstelle mit mittlerer Schweregrad hin.
Die Ausnutzung dieser Schwachstelle erfordert Zugriff auf die Build-Maschine oder die Möglichkeit, den vcpkg-Build-Prozess zu beeinflussen. Ein Angreifer könnte die OpenSSL-Konfiguration auf der Build-Maschine ändern und dann kompromittierte Software verteilen, die vcpkg verwendet. Sobald die Software auf einem Kundensystem installiert ist, könnte sie anfällig sein, wenn der openssldir-Pfad unsicher verwendet wird. Das Risiko wird vergrößert, wenn der Pfad auf ein Netzwerkverzeichnis verweist oder wenn Schreibzugriff auf dieses Verzeichnis gewährt wird. Obwohl eine direkte Ausnutzung auf dem Kundensystem weniger wahrscheinlich ist, ist das Risiko eines Kompromisses während des Build- und Verteilungsprozesses erheblich.
Organizations that utilize vcpkg for building C/C++ applications on Windows, particularly those relying on OpenSSL for secure communication or data encryption, are at risk. This includes developers, DevOps teams, and system administrators involved in the build and deployment pipelines. Shared hosting environments where multiple users build applications using a common vcpkg installation are also particularly vulnerable.
• windows / supply-chain:
Get-ChildItem -Path "C:\Program Files\vcpkg\installed\x64-windows\bin\openssl.exe" -ErrorAction SilentlyContinue | Select-Object -ExpandProperty FullName• linux / server:
find / -name "openssl.cnf" -print 2>/dev/null• generic web:
curl -I https://example.com | grep openssldirdisclosure
Exploit-Status
EPSS
0.07% (21% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für dieses Problem besteht darin, vcpkg auf Version 3.6.1#3 oder höher zu aktualisieren. Diese Version korrigiert die falsche Einstellung von openssldir und stellt sicher, dass der Pfad während des Installationsprozesses korrekt festgelegt wird, wodurch die Übertragung des Build-Maschinenpfads an Kundensysteme verhindert wird. Es wird dringend empfohlen, vcpkg so schnell wie möglich zu aktualisieren, um dieses Risiko zu mindern. Überprüfen Sie außerdem die Abhängigkeiten Ihrer Projekte, um sicherzustellen, dass sie eine sichere Version von vcpkg und OpenSSL verwenden. Das Update ist der wichtigste Schritt, um sich vor dieser Schwachstelle zu schützen.
Actualice vcpkg a la versión 3.6.1#3 o posterior. Esto asegura que las compilaciones de OpenSSL en Windows no sean vulnerables a la manipulación de la ruta de búsqueda.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
vcpkg ist ein C/C++-Paketmanager, der die Abhängigkeitsverwaltung in Softwareprojekten vereinfacht.
Sie können vcpkg mit dem Befehl vcpkg upgrade in der Befehlszeile aktualisieren.
Nicht unbedingt. Der Einfluss hängt davon ab, wie OpenSSL und der openssldir-Pfad in der Anwendung verwendet werden.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen. Der beste Weg ist, die von Ihnen verwendete vcpkg-Version zu überprüfen.
Erwägen Sie, zusätzliche Sicherheitsmaßnahmen zu ergreifen, z. B. den Zugriff auf die Build-Maschine einzuschränken und die OpenSSL-Konfiguration zu überprüfen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.