OpenSSL-lek kan remote code execution mogelijk maken

In dit artikel:

Een ernstige kwetsbaarheid (CVE-2025-15467) in OpenSSL kan bij het verwerken van speciaal vervalste CMS/PKCS#7-berichten leiden tot een stack buffer overflow en mogelijk remote code execution. Het probleem treedt op bij gebruik van AEAD-ciphers (bijvoorbeeld S/MIME AuthEnvelopedData met AES‑GCM) en doet zich vóór authenticatie voor, waardoor geldige sleutels niet nodig zijn om de overflow te veroorzaken. Misbruikbaarheid hangt af van het platform, maar de onderliggende stack-write maakt het risico substantieel.

Getroffen zijn OpenSSL-versies uit de 3.6, 3.5, 3.4, 3.3 en 3.0-lijnen; 1.1.1 en 1.0.2 zijn niet kwetsbaar. De impact is door OpenSSL als hoog aangemerkt. Nieuwe veilige releases (3.6.1, 3.5.5, 3.4.4, 3.3.6 en 3.0.19) zijn beschikbaar en bevatten ook fixes voor enkele minder ernstige problemen. Beheerders van systemen die onbetrouwbare CMS-inhoud verwerken wordt dringend geadviseerd direct te updaten — OpenSSL is immers wijdverbreid en eerdere lekken zoals Heartbleed toonden de potentieel grote gevolgen.