CVE-2025-7394: Kritieke kwetsbaarheid in wolfSSL

Huurhacker juli 19, 2025

Er is een belangrijke kwetsbaarheid ontdekt in wolfSSL die kan leiden tot voorspelbare willekeurige getallen in applicaties die zowel RAND_bytes() als fork() gebruiken. Dit probleem betreft met name de OpenSSL compatibiliteitslaag, waar de functie RAND_poll() niet zoals verwacht functioneerde. Hierdoor ontstaat het risico op zwakke of voorspelbare willekeurige getallen.

Deze kwetsbaarheid heeft een hoge CVSS-score van 7 en kan gevoelige informatie blootleggen aan ongeautoriseerde actoren. Hoewel interne TLS-operaties niet worden beïnvloed, is het cruciaal dat systemen die RAND_bytes() na een fork()-oproep gebruiken, worden bijgewerkt naar de nieuwste versie van wolfSSL.

Overzicht van de Kwetsbaarheid

De functie RAND_poll() in de OpenSSL compatibiliteitslaag van wolfSSL gedraagt zich niet zoals verwacht. Dit kan leiden tot voorspelbare waarden die worden geretourneerd door RAND_bytes() nadat fork() is aangeroepen. Deze situatie creëert zwakke of voorspelbare getallen in applicaties die zowel RAND_bytes() als fork() gebruiken, wat kan resulteren in het onbedoeld uitdelen van gevoelige informatie.

Aanbevelingen

Zorg ervoor dat u uw wolfSSL-versie bijwerkt naar de laatste versie. Deze update zorgt ervoor dat RAND_bytes() na een fork() opnieuw bijwerkt, vergelijkbaar met de werking in OpenSSL.
Controleer of uw applicaties expliciet RAND_bytes() aanroepen na een fork()-operatie en verbeter uw beveiliging waar mogelijk.

Bronnen

wolfSSL Changelog – Release 5.8.2

Vraag en Antwoord

Wat is CVE-2025-7394?

Een kwetsbaarheid in de OpenSSL compatibiliteitslaag van wolfSSL die kan leiden tot voorspelbare willekeurige getallen.

Welke systemen zijn kwetsbaar voor CVE-2025-7394?

Systemen die wolfSSL gebruiken in combinatie met RAND_bytes() na een fork()-oproep, in versies tot en met 5.8.0.

Bestaat er al een patch of beveiligingsupdate?

Ja, het wordt aanbevolen om wolfSSL bij te werken naar de nieuwste versie om deze kwetsbaarheid aan te pakken.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan mogelijk voorspelbare willekeurige getallen genereren en daarmee gevoelige informatie onderscheppen.

Huurhacker

Hoofdredacteur van Huurhacker.nl. Deelt actuele CVE’s en cybersecurity-inzichten in het Nederlands. Jarenlange ervaring in digitale veiligheid.

Bekijk alle berichten