Deutsche Telekom publicerar sårbarheter upptäckta av interna testare

Deutsche Telekom har offentliggjort detaljer om flera säkerhetsbrister som upptäckts av företagets egna säkerhetsexperter i programvarulösningar som används. Företaget följer en policy för ansvarsfull publicering, vilket innebär att information släpps först efter att sårbarheterna har åtgärdats och berörda parter har gett sitt samtycke.

Bland de nyligen rapporterade fynden finns två sårbarheter för fjärrbaserad buffertöverflöd i SharkSSL TLS-biblioteket. Den första, identifierad som CVE-2024-53379, rör hanteringen av Client Hello-handskakningen och rapporterades i december 2024. Den andra, CVE-2024-48075, relaterar till hanteringen av Client Key Exchange-handskakningen och publicerades i november 2024.

Företaget rapporterade också en kritisk sårbarhet för nekande av tjänst (DoS) (CVE-2023-24609) i MatrixSSL TLSv1.3-bibliotekets hantering av pre-shared keys, upptäckt i december 2023. Dessutom identifierades en kritisk DNS-läckagesårbarhet i Strongswan mobil VPN-klient (upptäckt i december 2023) och ytterligare en kritisk buffertöverflödsårbarhet i MatrixSSL TLSv1.3-serverns meddelandehantering (CVE-2022-43974, publicerad i januari 2023).

Alla upptäckter gjordes av intern personal från Deutsche Telekom Security GmbH och Deutsche Telekom AG med hjälp av moderna fuzzingmetoder. Telekom avser att bidra till en förbättrad cybersäkerhet genom att dela tekniska kommentarer och CERT-rekommendationer som kan hjälpa andra organisationer att identifiera och åtgärda liknande hot.