
Kritische OpenSSL-Schwachstelle CVE-2025-15467 – EMIL ist nicht betroffen
Am 27. Januar 2026 wurde mit CVE-2025-15467 eine als kritisch eingestufte Schwachstelle (CVSS 9.8) in der weit verbreiteten Verschlüsselungsbibliothek OpenSSL veröffentlicht. Sie betrifft das Verarbeiten bestimmter verschlüsselter CMS-/S-MIME-Nachrichten und kann dort im ungünstigsten Fall bis zur Ausführung von Schadcode führen.
EMIL und EMILdmp setzen in der aktuellen Version durchgängig auf OpenSSL 3.5 LTS. Wir haben die Meldung umgehend bewertet: EMIL verarbeitet selbst keine derartigen CMS-Nachrichten. Die Ver- und Entschlüsselung im KIM-Versand übernimmt das zertifizierte KIM-Clientmodul; OpenSSL kommt in EMIL ausschließlich für die gesicherte TLS-Datenübertragung zum Einsatz. Der angreifbare Programmpfad wird daher zu keinem Zeitpunkt betreten. Nach unserer Analyse ist die Sicherheitslücke daher in der EMIL-Plattform nicht ausnutzbar.
Aus Gründen der Vorsorge (Defense-in-Depth) aktualisieren wir die mitgelieferte OpenSSL-Bibliothek dennoch mit dem nächsten Release auf die korrigierte 3.5-LTS-Version.
Technische Details für Administratorinnen und Administratoren finden Sie in unserem Knowledge-Base-Artikel „OpenSSL CVE-2025-15467 – Auswirkung auf EMIL".