**wolfSSL**, eine schlanke TLS/SSL-Implementierung, die häufig in eingebetteten Systemen, IoT-Geräten und verschiedenen anderen Anwendungen eingesetzt wird, steht aufgrund einer neu entdeckten Schwachstelle unter Beobachtung. ### Die Schwachstelle: CVE-2026-5194 Forscher haben **CVE-2026-5194** identifiziert, einen kryptografischen Validierungsfehler, der mehrere Signatur-Algorithmen innerhalb von **wolfSSL** betrifft. Diese Schwachstelle ermöglicht die Akzeptanz von unzureichend schwachen Digests während der Zertifikatsprüfung, was Angreifern potenziell die Verwendung gefälschter Zertifikate ermöglicht. Die Lücke betrifft mehrere Algorithmen, darunter ECDSA/ECC, DSA, ML-DSA, Ed25519 und Ed448. Die Schwachstelle wurde von Nicholas Carlini von **Anthropic** entdeckt. ### Auswirkungen Laut Experten könnte eine erfolgreiche Ausnutzung von **CVE-2026-5194** dazu führen, dass Anwendungen oder Geräte, die eine anfällige **wolfSSL**-Version verwenden, eine gefälschte digitale Identität akzeptieren. Dies könnte dazu führen, dass ein bösartiger Server, eine Datei oder eine Verbindung vertraut wird, obwohl sie abgelehnt werden sollte. Ein Angreifer könnte diese Schwäche ausnutzen, indem er ein gefälschtes Zertifikat mit einem kleineren Digest als kryptografisch angemessen liefert, was die Signatur leichter zu fälschen oder zu reproduzieren macht. ### Abhilfe Die Schwachstelle wurde in **wolfSSL** Version 5.9.1 behoben, die am 8. April veröffentlicht wurde. Benutzern wird dringend empfohlen, auf diese Version oder eine neuere zu aktualisieren. "Fehlende Prüfungen der Hash/Digest-Größe und OID erlauben die Akzeptanz von Digests, die kleiner als zulässig sind, wenn ECDSA-Zertifikate verifiziert werden, oder kleiner als für den jeweiligen Schlüsseltyp angemessen ist, durch Signaturprüfungsfunktionen", heißt es in der Sicherheitsmeldung. ### Hersteller-Hinweise Systemadministratoren, die Umgebungen verwalten, die auf Linux-Distributionen, Hersteller-Firmware und eingebettete SDKs angewiesen sind, sollten auch nach nachgelagerten Hersteller-Hinweisen für spezifische Anleitungen suchen. Zum Beispiel besagt die Mitteilung von **Red Hat**, dass MariaDB nicht betroffen ist, da es OpenSSL anstelle von wolfSSL für kryptografische Operationen verwendet. Organisationen, die **wolfSSL** verwenden, wird geraten, ihre Bereitstellungen zu überprüfen und die Sicherheitsupdates umgehend anzuwenden, um sicherzustellen, dass die Zertifikatsvalidierung sicher bleibt.