4 Sicherheitslücken BSI warnt vor Schwachstellen in Bouncy Castle

Von Melanie Staudacher 3 min Lesedauer

Anbieter zum Thema

Schwachstellen in Bouncy Castle gefährden Verschlüsselung und digitale Signaturen. Angreifer könnten Daten entschlüsseln oder gefälschte Zertifikate als gültig ausgeben. Updates sollten umgehend eingespielt werden.

Die vier Sicherheitslücken in der Kryptographie-Bibliothek Bouncy Castle ermöglichen Angreifern potenziell das Entschlüsseln vertraulicher Daten, die Durchführung von Denial-of-Service-Angriffen, das Fälschen digitaler Signaturen und Zertifikate sowie die Offenlegung von Informationen.(Bild:  Gemini / Vogel IT-Medien GmbH / KI-generiert)
Die vier Sicherheitslücken in der Kryptographie-Bibliothek Bouncy Castle ermöglichen Angreifern potenziell das Entschlüsseln vertraulicher Daten, die Durchführung von Denial-of-Service-Angriffen, das Fälschen digitaler Signaturen und Zertifikate sowie die Offenlegung von Informationen.
(Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)

Bouncy Castle ist sehr weit verbreitet. Die quelloffene Kryptographie-Bibliothek wurde für verschiedene Programmiersprachen entwickelt, hauptsächlich jedoch für Java und C#/.NET. Die Bibliothek bietet Implementierungen für Verschlüsselungsalgorithmen, Hash-Funktionen, digitale Signaturen, Public-Key-Infrastrukturen udn vieles mehr. Umso gravierender können die folgen von ungepatchten Schwachstellen sein. Derzeit warnt das Bundesamt für Sicherheit in der Informationstechnik vor diesen vier Sicherheitslücken:

Anfällige Verschlüsselung

Die gefährlichste der vier Schwachstellen ist EUVD-2025-209467 / CVE-2025-14813 die zwar bereits im vergangenen Jahr entdeckt wurde, jedoch wie die anderen Sicherheitslücken erst am 15. April 2026 veröffentlicht wurde. Nach wie vor werden Produkte als betroffen identifiziert und dem Advisory des BSI zugefügt. Die Erstmeldung kam von Bouncy Castle selbst, da alle Versionen vor 1.84 betroffen sind.

EUVD-2025-209467 / CVE-2025-14813 betrifft einen fehlerhaften oder unsicheren krypto­grafischen Algorithmus, der in der Komponente „bcprov“ verwendet wurde. Diese ist für die GOST-CTR-Verschlüsselung in Bouncy Castle zuständig. Da die Implementierung ein einzelnes Byte als Zähler verwendete, konnte der Modus nicht mehr als 255 Blöcke verschlüsseln beziehungsweise entschlüsseln. Da dies unterhalb der Vorgaben der Algorithmus-Spezifikation liegt, laut der der Zähler einen Bereich von n/2 Bits abdecken sollte, musste der Fehler dringend korrigiert werden, da anfällige Produkte ansonsten Gefahr laufen, bereits nach der Ver­schlüs­sel­ung von nur 256 Blöcken eine Wiederholung des Keystreams zu erzeugen, wodurch die Vertraulichkeit und Integrität der verschlüsselten Daten kompromittiert werden könnte. Angreifer könnten durch Verknüpfung von Chiffretext-Blöcken mit identischem Keystream Rückschlüsse auf die zugrundeliegenden Klartexte ziehen oder diese teilweise beziehungsweise vollständig rekonstruieren.

Konkret betroffen sind die Versionen 1.59 <1.80.2, 1.59 <1.84, 1.82 <1.84 und 1.81 <1.81.1. Die Commits b42574345414e4b7c8051b16fa1fafe01c29871f und 701686cb0184cd9ae103c801b3581fdf95c6d4f3 enthalten Fixes.

DoS-Angriffe möglich

EUVD-2026-22855 / CVE-2026-3505 beschreibt einen unkontrollierten Ressourcenverbrauch, der in der Komponente „bcpg“ vorliegt. Diese Schwachstelle steht im Zusammenhang mit den Programmdateien AEADEncDataPacket.Java, BcAEADUtil.Java, JceAEADUtil.Java und OperatorHelper.Java. Das Problem liegt darin, dass die Bibliothek nicht prüft, wie groß der Datenblock in einem eingehenden PGP-AEAD-Paket sein darf, bevor sie Speicher dafür reserviert. Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er eine eine manipulierte PGP-Nachricht mit einer AEAD-verschlüsselten Payload erstellt, in der eine sehr, sehr große Datenblock-Größe angegeben ist. Versucht Bouncy Castle entsprechend viel Speicher zu reservieren, kann es zu einem Denial of Service führen.

EUVD-2026-22855 / CVE-2026-3505 betrifft BC-JAVA in den Versionen 1.74 bis vor 1.80.2, 1.81 bis vor 1.81.1 sowie 1.82 bis vor 1.84. Behoben wurde das Problem mit dem Commit dc7530939ffb6cdb57636f3609d98e23b94e71c1.

Zwar sind die anderen beiden Sicherheitslücken weniger gravierend, sollten dennoch gepatcht werden. EUVD-2026-22871 / CVE-2026-5588 betrifft eine fehlerhafte kryptographische Signaturprüfung im „bcpkix“-Modul und erlaubt es unter bestimmten Umständen, dass Signaturprüfungen nicht korrekt durchgeführt werden. Dies kann dazu führen, dass manipulierte oder gefälschte digitale Signaturen/Zertifikate fälschlicherweise als gültig akzeptiert werden. Der Commit 656bae0dbd9b1521f840521ff786e78749fe3057 enthält den Fix.

EUVD-2026-22849 / CVE-2026-0636 ist eine LDAP-Injection-Schwachstelle im „bcprov“-Modul, die dazu führt, dass Sonderzeichen nicht ausreichend bereinigt werden. Angreifer können so potenziell eigene LDAP-Anweisungen einschleusen und vertrauliche Informationen offenlegen. Den Fix finden Nutzer im Commit d20cdb8430e09224114fec0179a71859929fcbde.

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

(ID:50895582)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung