Deutsche Telekom veröffentlicht von internen Testern gefundene Sicherheitslücken

Die Deutsche Telekom hat Einzelheiten zu mehreren Sicherheitslücken bekannt gegeben, die von ihren internen Sicherheitsexperten in genutzten Softwarelösungen entdeckt wurden. Das Unternehmen hält sich an eine Politik der verantwortungsvollen Offenlegung und veröffentlicht Informationen erst, nachdem die Schwachstellen behoben wurden und die betroffenen Parteien ihre Zustimmung erteilt haben.

Jüngste Funde umfassen zwei Remote-Buffer-Overflow-Schwachstellen in der SharkSSL TLS-Bibliothek. Die erste, CVE-2024-53379, betrifft die Verarbeitung des Client Hello Handshakes und wurde im Dezember 2024 gemeldet. Eine zweite Schwachstelle, CVE-2024-48075, im Zusammenhang mit der Verarbeitung des Client Key Exchange Handshakes, wurde im November 2024 veröffentlicht.

Das Unternehmen meldete außerdem eine kritische Denial-of-Service (DoS)-Schwachstelle (CVE-2023-24609) in der MatrixSSL TLSv1.3-Bibliothek bei der Verarbeitung von Pre-Shared Keys, die im Dezember 2023 entdeckt wurde. Darüber hinaus wurde eine kritische DNS-Leak-Schwachstelle im Strongswan Mobile VPN-Client (entdeckt im Dezember 2023) identifiziert, sowie eine weitere kritische Remote-Buffer-Overflow-Schwachstelle bei der Nachrichtenverarbeitung des MatrixSSL TLSv1.3-Servers (CVE-2022-43974, veröffentlicht im Januar 2023).

Diese Entdeckungen wurden von Sicherheitsexperten der Deutsche Telekom Security GmbH und der Deutschen Telekom AG mittels moderner Fuzzing-Methoden gemacht. Das Unternehmen möchte zur Cybersicherheit beitragen, indem es technische Kommentare und CERT-Advisories veröffentlicht, die anderen Organisationen bei der Identifizierung und Behebung ähnlicher Bedrohungen helfen können.