De Linux-distributie Tails heeft een noodpatch uitgebracht om meerdere kwetsbaarheden in OpenSSL op te lossen. De Tor-browser die in de oude versie van Tails zit, maakt gebruik van een kwetsbare versie van OpenSSL.
Het gaat om in totaal twaalf bekende kwetsbaarheden. Het lek met CVE-nummer CVE-2025-15467 is het ernstigst en heeft een CVSS-score van 9,8. Het gaat om een stackbufferoverflowfout die kan ontstaan bij het verwerken van Cryptographic Message Syntax-berichten. De parameter Initialization Vector, het 'startpunt' van de encryptie, wordt in een stackbuffer gekopieerd met een vaste grootte zonder te controleren of de lengte ervan geschikt is voor de buffer. Wanneer een aanvaller een CMS-bericht met een te grote IV verstuurt, ontstaat een stackbufferoverflow. Daardoor kan het systeem crashen en kan een hacker mogelijk op afstand code uitvoeren. De versies 3.6, 3.5, 3.4, 3.3 en 3.0 van OpenSSL bevatten dit lek.
De noodpatch repareert de kwetsbaarheden door de OpenSSL-bibliotheek te updaten naar versie 3.5.4. Volgens de ontwikkelaars van het op privacy gefocuste besturingssysteem was het door de kwetsbaarheden mogelijk om het IP-adres van een gebruiker te achterhalen via een kwaadaardige Tor-server. De patch updatet ook de Tor-client naar versie 0.4.8.22 en het e-mailprogramma Thunderbird naar versie 140.7.0. Verder lost de update ook een authenticatieprobleem met Gmail-accounts in Thunderbird op.
/i/2008001170.png?f=imagenormal)
/i/2004673266.png?f=fpa)
:strip_icc():strip_exif()/u/92491/crop64a1593f33a7b_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/70819/avater.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/26315/bleh.jpg?f=community){kind=small}
/u/286895/icon1.png?f=community){kind=small}