Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Linux 14.06.2026 · 3 min Lesezeit

OpenSSL: Neun Schwachstellen im Sicherheitsrelease vom 9. Juni 2026, darunter High-Risk Use-After-Free in PKCS7

OpenSSL 3.0.21, 3.4.6, 3.5.7, 3.6.3 und 4.0.1 schliessen neun Sicherheitsluecken. Die kritischste, CVE-2026-45447, ist ein Use-After-Free in PKCS7_verify(), fuer den bereits ein oeffentlicher PoC existiert.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
OpenSSL Sicherheitsrelease vom 9. Juni 2026 mit neun Schwachstellen, High Risk Use After Free in PKCS7, Zertifikaten, Server Sicherheit und Cybersecurity Warnsymbol im Rechenzentrum

Das OpenSSL-Projekt hat am 9. Juni 2026 Sicherheitsupdates fuer die unterstuetzten Branches veroeffentlicht. Insgesamt neun Schwachstellen werden geschlossen, darunter eine High-Risk Use-After-Free-Luecke in PKCS7_verify(), die unter Umstaenden zu Remote Code Execution fuehren kann. Erste Distributionen haben die Pakete bereits nachgezogen, unter anderem Ubuntu mit USN-8414-1.

Das Wichtigste in Kuerse

  1. Release-Datum: 9. Juni 2026
  2. Betroffene Branches: OpenSSL 4.0, 3.6, 3.5, 3.4, 3.0 (1.1.1 als LTS-Patch)
  3. Anzahl CVE: neun, die kritischste mit CVSS 3.1 8.8 (High)
  4. Schwerster Einzelfall: CVE-2026-45447 (Use-After-Free in PKCS7_verify()) - oeffentlicher PoC seit 11. Juni 2026
  5. FIPS-Module: 4.0, 3.6, 3.5, 3.4, 3.0 sind vom Use-After-Free nicht betroffen

Was ist neu?

Die Updates aktualisieren die unterstuetzten Branches auf die folgenden Versionen:

  1. OpenSSL 4.0.1
  2. OpenSSL 3.6.3
  3. OpenSSL 3.5.7
  4. OpenSSL 3.4.6
  5. OpenSSL 3.0.21
  6. OpenSSL 1.1.1zh (LTS-Patch fuer 1.1.1)

Welche Fehler wurden behoben?

Die Release-Notes fuer OpenSSL 3.0.21 listen unter anderem:

  1. CVE-2026-45447: Heap Use-After-Free in PKCS7_verify() bei der Verarbeitung bestimmter PKCS#7- oder S/MIME-Signaturen, potenziell RCE.
  2. CVE-2026-34182: CMS-AuthEnvelopedData-Verarbeitung konnte gefaelschte Nachrichten akzeptieren.
  3. CVE-2026-45445: AES-OCB-IV wurde auf dem EVP_Cipher()-Pfad ignoriert.
  4. CVE-2026-7383: Heap-Buffer-Overflow in der ASN.1-Multibyte-String-Konvertierung.
  5. CVE-2026-9076: Out-of-Bounds-Read in der CMS-Passwort-basierten Entschluesselung.
  6. CVE-2026-34180: Heap-Buffer-Over-Read in der ASN.1-Content-Parsing.
  7. CVE-2026-42766: NULL-Dereferenz in der CMS-Passwort-basierten Entschluesselung.
  8. CVE-2026-42770: FFC-DH-Peer-Validierung nutzte einen vom Angreifer gelieferten q-Wert.
  9. CVE-2026-45446: Fehlerhafte Tag-Verarbeitung fuer leere Nachrichten in AES-GCM-SIV und AES-SIV.

Gibt es Sicherheitskorrekturen?

Ja, alle genannten CVEs sind Sicherheitsluecken. Der offizielle Schweregrad fuer den gesamten Release ist High (laut OpenSSL 3.0-Series-Release-Notes). Die im NVD gelistete CVSS-3.1-Bewertung fuer CVE-2026-45447 liegt bei 8.8 (High). Ein einzelner Drittanbieter-Indexer (cvefeed) zeigt 9.8, was nicht der NVD-Bewertung entspricht. Wir verwenden die NVD-Angabe.

Wen betrifft das Update?

  1. Webserver, Mailserver, TLS-Terminatoren: jede Distribution oder Eigeninstallation, die einen betroffenen Branch einsetzt.
  2. Anwendungen, die PKCS#7- oder S/MIME-Signaturen validieren (etwa im Mailumfeld): hier ist der Use-After-Free besonders relevant.
  3. PKI- und Signaturinfrastruktur: CRMF EncryptedValue-Entschluesselung kann NULL-Dereferenzen ausloesen, das betrifft Zertifikatsausstellung und -verwaltung.

Sollte man sofort aktualisieren?

Ja. Die Updates sind mit gewoehnlich geringem Risiko einspielbar. Wegen des oeffentlichen PoCs fuer CVE-2026-45447 sollte die Aktualisierung nicht auf die lange Bank geschoben werden. Wer Distribution-Pakete einsetzt, sollte auf den Rollout der jeweiligen Distribution warten (bei Ubuntu zum Beispiel via apt update und apt upgrade fuer USN-8414-1).

Was ist vor dem Update zu beachten?

  1. Auf Systemen mit FIPS-Modul ist CVE-2026-45447 nach Oracles Beschreibung nicht relevant, weil der betroffene Code ausserhalb des FIPS-Moduls liegt.
  2. Bei eigenen Bibliotheken oder TLS-Terminatoren wie Nginx oder Apache ist ein Neustart des Dienstes nach dem Update erforderlich.
  3. Wer statisch gegen OpenSSL linkt, muss die Anwendung neu bauen und ausrollen.

Empfehlung fuer Administratoren

  1. Inventarisieren, welche OpenSSL-Versionen wo laufen. Haeufig existieren in Containern eigene Versionen, die nicht der Distribution folgen.
  2. Distribution-Update einspielen (Debian, Ubuntu, RHEL, SUSE, Alpine haben ihre Advisories). Bei zentralem Monitoring lassen sich verwundbare Hosts schnell identifizieren.
  3. Eigene Build-Pipelines, Container-Images und Drittanbieter-Software auf neue OpenSSL-Versionen pruefen.
  4. Im Anschluss mit openssl version auf den betroffenen Hosts die neue Version verifizieren.

Fazit

Das OpenSSL-Sicherheitsrelease vom 9. Juni 2026 ist ein klassischer sofort patchen-Fall: ein oeffentlicher PoC fuer eine High-Severity-Luecke, ein klares Patch-Paket und Distributionen, die bereits nachgezogen haben. Wer TLS-Terminatoren, Mailserver oder PKI betreibt, sollte die Aktualisierung in den kommenden Tagen abschliessen.

Quellen

  1. OpenSSL Release Notes 3.0: OpenSSL 3.0.21 (9. Juni 2026)
  2. NVD: CVE-2026-45447 Detail
  3. Ubuntu: USN-8414-1: OpenSSL vulnerabilities
Verwandt

Weiter lesen

Alle Artikel →
Hestia Control Panel auf einem netcup Root-Server als Plesk-Alternative einrichten, Domains, Webhosting, E-Mail und SSL-Zertifikate zentral verwalten
13.06.2026 ·10 min

Hestia Control Panel auf netcup Root-Server einrichten: Webhosting-Panel als Plesk-Alternative

Hestia CP ist die kostenlose Open-Source-Alternative zu Plesk. Einrichten per Installer auf deinem netcup Root-Server – Domains, E-Mail und Datenbanken über eine moderne Web-Oberfläche verwalten, rDNS/PTR im SCP setzen, DNS-Records ins CCP.
TeamSpeak-Server auf einem netcup VPS mit eigener Domain einrichten, DNS-Einträge setzen und Sprachserver dauerhaft erreichbar betreiben
13.06.2026 ·10 min

TeamSpeak-Server auf einem netcup VPS einrichten – mit eigener Domain

Eigenen TeamSpeak 3-Sprachserver auf dem günstigen netcup VPS piko G11s betreiben, per systemd dauerhaft am Laufen halten und über einen A-Record im netcup CCP mit deiner eigenen Subdomain verbinden.
Minecraft-Server auf netcup VPS mit Purpur einrichten, dauerhaft per systemd betreiben und regelmäßige Backups für sichere Serverdaten nutzen
13.06.2026 ·10 min

Minecraft-Server auf netcup VPS aufsetzen und dauerhaft betreiben (Purpur, systemd, Backup)

Eigenen Purpur-basierten Minecraft-Server auf dem netcup VPS 1000 G12 einrichten – mit dediziertem Linux-User, Java 21 (Azul Zulu), systemd-Autostart, täglichem tar-Backup und korrekter Port-Freigabe in der netcup SCP-Firewall.