• CWE-599: Missing Validation of OpenSSL Certificate

Das Produkt verwendet OpenSSL und verlässt sich auf oder nutzt ein Zertifikat, ohne die Funktion SSL_get_verify_result() zu verwenden, um sicherzustellen, dass das Zertifikat alle notwendigen Sicherheitsanforderungen erfüllt.

CWE-599: Missing Validation of OpenSSL Certificate

CWE ID: 599
Name: Missing Validation of OpenSSL Certificate

Beschreibung

Das Produkt verwendet OpenSSL und verlässt sich auf oder nutzt ein Zertifikat, ohne die Funktion SSL_get_verify_result() zu verwenden, um sicherzustellen, dass das Zertifikat alle notwendigen Sicherheitsanforderungen erfüllt.

Erweiterte Beschreibung

Dies könnte einem Angreifer die Möglichkeit eröffnen, ein ungültiges Zertifikat zu verwenden, um sich als vertrauenswürdiger Host auszugeben, abgelaufene Zertifikate zu nutzen oder andere Angriffe durchzuführen, die durch eine korrekte Zertifikatsvalidierung – also durch die Verwendung von Funktionen wie der certificate verification – erkannt würden.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass eine angemessene authentication in das Systemdesign integriert ist.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Verstehen und implementieren Sie alle notwendigen Prüfungen, um die Identität der an verschlüsselten Kommunikationen beteiligten Entitäten sicherzustellen. Dies beinhaltet die korrekte Handhabung von certificates und die Validierung von digital signatures.