OpenSSL CVE-2025-15467 – Auswirkung auf EMIL / EMILdmp

Schweregrad: Kritisch (CVSS 9.8) · Veröffentlicht: 27.01.2026 · Status: Kein Handlungsbedarf für Anwender

CVECVE-2025-15467
ArtPre-Auth Stack-Buffer-Overflow im CMS-Parser (AuthEnvelopedData, AEAD/AES-GCM): Die IV-Länge aus den ASN.1-Parametern wird ohne Obergrenzen-Prüfung in einen festen Stack-Puffer kopiert. Folge: DoS, potenziell Remote Code Execution – ohne Schlüssel/Authentifizierung.
BetroffenOpenSSL 3.0, 3.3, 3.4, 3.5, 3.6 (somit auch die in der EMIL-Plattform gebündelte 3.5.6)
Nicht betroffenOpenSSL 1.0.2 / 1.1.1 sowie FIPS (CMS liegt außerhalb der FIPS-Grenze)

Bewertung für EMIL / EMILdmp

  • Die Lücke ist ausschließlich über das Einlesen nicht vertrauenswürdiger CMS-/S-MIME-Nachrichten erreichbar – nicht über TLS und nicht über die X.509-Zertifikatsprüfung.
  • EMIL ruft keine CMS-/PKCS#7-Funktion von OpenSSL auf und parst selbst kein CMS/S-MIME. Die KIM-/eArztbrief-Krypto übernimmt das externe KIM-Clientmodul; EMIL erhält bereits entschlüsseltes Plain-MIME (POP3) und nutzt OpenSSL nur für die TLS-Transportverschlüsselung.
  • Ergebnis: nach aktueller Analyse nicht ausnutzbar. Der verwundbare Code liegt inaktiv in der mitgelieferten libcrypto-3.dll.

Maßnahme

Vorsorglich (Defense-in-Depth) wird die gebündelte OpenSSL-Bibliothek auf die im OpenSSL-Sicherheitsupdate vom 27.01.2026 korrigierte 3.5-LTS-Patchstufe angehoben – reiner DLL-Austausch, keine Funktionsänderung. Das Update erfolgt mit dem nächsten regulären Release.

Quellen: NVD CVE-2025-15467 · openssl-library.org/news/vulnerabilities