OpenSSL CVE-2025-15467: Kritische Schwachstelle – Betroffenheit prüfen & sofort patchen
Stand: 02. Februar 2026 – zuletzt aktualisiert
In OpenSSL wurden 12 Schwachstellen entdeckt – darunter CVE-2025-15467 mit CVSS 9.8. Je nach Nutzungspfad kann die Lücke zu Denial-of-Service führen oder im Worst Case eine Schadcode-Ausführung ermöglichen. Besonders brisant: Die Funde wurden mithilfe KI-gestützter Analyse gemacht, was zeigt, wie schnell sich die Fundrate in sehr reifen Codebasen erhöhen kann. [Presse]
Dieser Beitrag ist für Teams gedacht, die in kurzer Zeit entscheiden müssen: Bin ich betroffen? Und falls ja: Was ist heute zu tun? Sie bekommen eine Betroffenheitsprüfung (Server/Container/CI), konkrete Patch-Schritte, Priorisierung und pragmatische Maßnahmen, wenn ein sofortiges Update nicht überall möglich ist.
Kurz erklärt
CVE-2025-15467 ist ein Stack-basierter Pufferüberlauf in OpenSSL
beim Parsen von CMS AuthEnvelopedData mit bösartig präparierten AEAD-Parametern.
Das kann zu einem Absturz führen – oder potenziell zu Remote Code Execution.
[CVE]
- Wenn Sie CMS/PKCS#7 aus untrusted Quellen verarbeiten: sofort priorisieren. [Vendor Advisory]
- Wenn Sie OpenSSL „nur fürs TLS“ nutzen: trotzdem patchen – aber Priorisierung hängt von Exponierung und Nutzungspfad ab.
TL;DR – die wichtigsten Schritte
- Inventarisieren: OpenSSL-Versionen in OS, Containern, CI/CD, Appliances.
- Patchen: auf gefixte OpenSSL-Versionen (siehe Tabelle unten).
- Priorisieren: Internet-exponierte Dienste und Parser-Pfade zuerst.
- Absichern: bis Patch überall ist: Angriffsfläche reduzieren + Monitoring erhöhen.
1. Ausgangslage & Risiko
OpenSSL ist eine Basiskomponente für TLS/HTTPS, Zertifikatsverarbeitung und zahlreiche kryptografische Funktionen. Die praktische Relevanz solcher CVEs entsteht weniger „im OpenSSL-Projekt“, sondern durch Verbreitung: OpenSSL steckt in Betriebssystemen, Containern, Appliances, Agenten und in Teilen von Software-Stacks, die man im Alltag selten bewusst auditieren kann.
Bei CVE-2025-15467 ist entscheidend, ob Ihre Umgebung
CMS/PKCS#7 Inhalte aus nicht vertrauenswürdigen Quellen verarbeitet. In diesem Pfad
kann das Parsen von AuthEnvelopedData zum Pufferüberlauf führen.
[Vendor Advisory]
Gleichzeitig gilt: Auch wenn Ihr primärer Use Case „nur TLS“ ist, sollten Sie patchen, weil OpenSSL in der Praxis selten völlig isoliert genutzt wird (Libraries, Tools, Nebenpfade, zukünftige Feature-Nutzung, unterschiedliche Builds in Containern).
2. Bin ich betroffen? (Pragmatische Betroffenheitsprüfung)
Betroffene Versionen (inkl. CVE-2025-15467)
Die folgenden Versionen enthalten bereits die relevanten Fixes für die entdeckten Schwachstellen in OpenSSL. Versionen darunter sind potentiell betroffen:
| OpenSSL Branch | Betroffen bis | Fix ab Version | Empfohlener Status |
|---|---|---|---|
| 3.6.x | ≤ 3.6.0 | 3.6.1 | ❗ Patch sofort |
| 3.5.x | ≤ 3.5.4 | 3.5.5 | ❗ Patch sofort |
| 3.4.x | ≤ 3.4.3 | 3.4.4 | ❗ Patch zuerst |
| 3.3.x | ≤ 3.3.5 | 3.3.6 | 🔧 Patch zeitnah |
| 3.0.x (LTS) | ≤ 3.0.18 | 3.0.19 | 🔒 Patch unbedingt |
| 1.1.1 (Legacy) | ≤ 1.1.1ze | 1.1.1zf (Support) | ⚠️ Support beachten |
| 1.0.2 (Legacy) | ≤ 1.0.2zn | Supportabhängig | ⚠️ EOL prüfen |
2.1 Prüfen Sie zuerst: Wo läuft OpenSSL wirklich?
Viele Teams prüfen nur den Webserver – aber nicht: Sidecars, Base-Images, CI Runner, Jump Hosts, Backup-Agents, Monitoring, VPN/Proxy-Appliances. Besonders häufig ist das Problem in Container-Umgebungen: Der Host ist gepatcht, das Image nicht.
2.2 Welche Versionen sind relevant?
Laut NVD/Herstellerbeschreibung betrifft die CVE das Parsen von CMS AuthEnvelopedData. Die Fixes wurden in mehreren OpenSSL-Branches bereitgestellt (je nach Major/Minor). [CVE]
2.3 Zweite wichtige CVE: PKCS#12 Verarbeitung
Zusätzlich wurde u. a. CVE-2025-11187 genannt: fehlende Validierung bestimmter Parameter in PKCS#12-Dateien (z. B. beim MAC-Check), was ebenfalls zu Abstürzen und potenziell RCE führen kann. Für viele Unternehmen ist das v. a. relevant, wenn Anwendungen hochgeladene Zertifikatsdateien oder Import-Funktionen haben. [CVE] [Technische Analyse]
3. Sofortmaßnahmen & Patch-Plan
3.1 Priorisieren Sie nach Exponierung und Nutzungspfad
Patchen „alles überall“ ist das Ziel – aber die Reihenfolge entscheidet über Risiko:
- Stufe 1 (sofort): Internet-exponierte Services + Komponenten, die CMS/PKCS#7/PKCS#12 untrusted verarbeiten.
- Stufe 2 (zeitnah): Interne kritische Systeme (IdP, API Gateways, Messaging, zentrale Plattformen).
- Stufe 3 (nachziehen): Entwickler-Tools, CI Runner, Build-Images, Legacy Systeme (mit Plan).
3.2 Patchen: Was heißt „gefixt“ konkret?
Updates wurden für mehrere OpenSSL-Branches veröffentlicht (je nach eingesetzter Version). In vielen Fällen ist der richtige Weg: OS-/Distribution-Update + Image-Rebuild + Rollout.
3.3 Wenn Patch nicht sofort geht: kurzfristige Risikoreduktion
Workarounds ersetzen kein Patch – aber sie kaufen Zeit:
- Angriffsfläche reduzieren: Exponierte Endpunkte hinter Auth/Allowlist, unnötige Import-/Parser-Funktionen deaktivieren, Uploads isolieren.
- Isolation: Parser/Import in separate, gering privilegierte Services auslagern (Sandboxing).
- Monitoring: Crash-Spikes, ungewöhnliche Requests, WAF/Proxy-Logs, Container-Restarts überwachen.
- Incident Readiness: Rollback-Plan, schnelle Image-Promotion, Notfall-Kommunikation klären.
4. Kommandos & Checks (Server, Container, CI)
Check 1: OpenSSL-Version lokal prüfen (Host oder Container Shell).
# Version anzeigen (häufigster Quick Check)
openssl version -a
Check 2: Paketmanager prüfen (Beispiel Debian/Ubuntu).
# Paketversion prüfen
dpkg -l | grep -E '^ii\s+openssl\s'
# Update-Infos anzeigen
apt-cache policy openssl
# Sicherheitsupdates einspielen
sudo apt update
sudo apt install --only-upgrade openssl
Check 3: Container-Image prüfen (Beispiel: Image starten und Version auslesen).
# Beispiel: Version im Image prüfen
docker run --rm -it --entrypoint sh <IMAGE> -lc 'openssl version -a || true'
# Tipp: Danach Image rebuilden (neues Base-Image ziehen)
docker build --no-cache -t <IMAGE>:patched .
Check 4: Statisch gelinkte Binaries / „verstecktes“ OpenSSL identifizieren.
# Dynamische Linkage prüfen (Linux)
ldd /pfad/zur/app | grep -i ssl || true
ldd /pfad/zur/app | grep -i crypto || true
# Wenn "not a dynamic executable": mögliches statisches Linking → rebuild/lieferant prüfen
5. Übersichten & Priorisierung
Die wichtigste operative Frage ist: Welche Systeme patchen wir zuerst? Nutzen Sie diese Tabelle als pragmatische Priorisierungslogik.
| Priorität | Typisches System | Warum | Sofortmaßnahme |
|---|---|---|---|
| P0 | Internet-exponierte Gateways/Services | Hohe Reichweite, hohe Angriffsfläche | Patch + ggf. Zugriff einschränken |
| P1 | Import-/Parser-Funktionen (CMS/PKCS#12) | Untrusted Input erhöht Exploitability | Patch + Isolation/Sandboxing |
| P2 | Interne Kernplattform (IdP, Messaging) | Hoher Business Impact | Patch im Wartungsfenster + Monitoring |
| P3 | CI Runner / Build Images | Supply-Chain Risiko, indirekte Verbreitung | Base-Images aktualisieren + rebuild |
5.1 Was bedeutet „KI findet CVEs“ für Ihre Organisation?
Der Kontext ist wichtig: Wenn KI-Tools in sehr reifen Projekten wie OpenSSL 12 neue Schwachstellen finden, wird die Erwartung realistischer, dass mehr Schwachstellen schneller gefunden werden – sowohl von Defendern als auch von Angreifern. Für Unternehmen heißt das praktisch: Patch- und Dependency-Prozesse müssen robust sein, nicht nur „ad hoc“. [Analyse]
6. Häufige Fragen aus der Praxis
6.1 Bin ich betroffen, wenn ich OpenSSL nicht bewusst einsetze?
Häufig ja: OpenSSL ist oft indirekt Teil Ihres Stacks. Prüfen Sie Betriebssystempakete, Container-Basisimages,
CI Runner und Appliances. Wenn Sie SBOMs nutzen: filtern Sie nach openssl und vergleichen Sie
die Versionen mit gefixten Releases.
6.2 Reicht ein OS-Update oder muss ich neu bauen?
OS-Update reicht oft – aber nicht immer: Statisch gelinkte Binaries, selbst gebaute Images oder gebundelte Libraries erfordern ein Rebuild + Redeploy. Ein gepatchter Host hilft nicht, wenn Ihr Container eine alte OpenSSL-Version mitbringt.
6.3 Gibt es „Mitigations“, wenn wir nicht sofort patchen können?
Kurzfristig: Angriffsfläche reduzieren, untrusted Inputs vermeiden/isolieren, Segmentierung und Monitoring. Mittel-/langfristig: Patch-Ownership, feste Update-Slots und automatisierte Dependency-Checks.
6.4 Sollte ich prüfen, ob CISA die CVE im KEV-Katalog führt?
Ja, als Signal für „besonders operational relevant“. Der KEV-Katalog ist dynamisch und wird aktualisiert. [Behörde]
7. Quellen & weiterführende Links
Offizielle CVE-Einträge, Vendor-Advisories und technische Analysen:
OpenSSL: 12 Sicherheitslecks, eines erlaubt Schadcodeausführung
heise online, 2026
CVE-2025-15467 – NVD Detailseite
NVD / NIST, CVSS 9.8
CVE-2025-11187 – NVD Detailseite
NVD / NIST
Aisle: AI entdeckt 12 OpenSSL-Schwachstellen (Hintergrund)
Aisle Research Blog, 2026
Red Hat: CVE-2025-15467 – Scope & betroffene Nutzungspfade
Red Hat Security, 2026
Datadog Security Labs: OpenSSL Security Update (CMS/PKCS#12 Buffer Overflows)
Datadog Security Labs, 2026
CISA: Known Exploited Vulnerabilities Catalog (KEV)
CISA, laufend aktualisiert
Stand: 02.02.2026
Dieser Artikel wird bei neuen Entwicklungen aktualisiert. Für die aktuellsten Informationen prüfen Sie bitte die offiziellen Quellen.
Verwandte Artikel & weiterführende Ressourcen
Wenn Sie Security-News systematisch in Prozesse übersetzen möchten:
- IT-Security-Grundlagen für kleine Unternehmen – Basiswissen für eine robuste Sicherheitsstrategie
- IT-Security Check – schnelle Betroffenheitsprüfung & Priorisierung
- Projektbegleitung – Patch/Hardening/Incident-Readiness pragmatisch umsetzen
Weitere Security-News finden Sie im Blog-Archiv .
Wie wir helfen können
Wenn Sie unsicher sind, ob Ihre Systeme betroffen sind oder wenn Sie Patch/Container/CI sauber prüfen wollen: Wir machen das pragmatisch, ohne Over-Engineering.
Sie möchten diese Schritte auf Ihr Unternehmen übertragen?
In einem kurzen Gespräch klären wir, welche Maßnahmen für Sie konkret sinnvoll sind – ohne Over-Engineering.