Logo von heise online

Suche
Daniel Bachfeld 8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Anzeige

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

Anzeige
  1. OpenSSL liefert Freak-Update

    SSL

    Mit neuen Versionen der Kryptobibliothek OpenSSL schließt das Team des Open-Source-Projektes eine ganze Reihe von Schwachstellen; darunter auch die Freak-Lücke. Admins sollten die Updates umgehend einspielen.

  2. Kritischer OpenSSL-Patch voraus

    Kritischer OpenSSL-Patch voraus

    Am Donnerstag will das OpenSSL-Team eine Sicherheitslücke beseitigen.

  3. Foto-CMS Koken sucht Käufer

    Koken.me

    Mit Koken können Fotografen ohne viel Aufwand schicke Foto-Websites erzeugen und verwalten. Nun steht das Content-Management-System zum Verkauf: "Make us an offer", fordern die Entwickler.

  4. NetObjects kauft Foto-CMS Koken

    Foto-CMS Koken

    Im Juli hatten die Entwickler ihr Foto-CMS Koken zum Verkauf angeboten: "Make us an offer". Nun hat NetObjects zugeschlagen, der Hersteller des Webeditors Fusion. Für Kunden soll sich nichts ändern.

  1. Kernel-Log – Was 3.17 bringt (3): Treiber

    Der Linux-Kernel unterstützt 4K-Monitore und moderne Radeon-Chips besser. Thunderbolt soll nun auch bei Apple-Systemen funktionieren. Der Rauswurf von mehr als einem Dutzend Treibern dürfte den Codeumfang von 3.17 gegenüber seinen Vorgängern verkleinern.

  2. Kernel-Log – Was 3.13 bringt (4): Treiber

    Zur Problemvermeidung nutzt der Kernel eine wichtige USB-3.0-Stromsparfunktion nicht mehr automatisch. Besitzer von Apple-Tastaturen können nun die Belegung von Option- und Command-Taste tauschen.

  3. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  1. Routerzwang: Hersteller befürchten Router-Zertifizierung

    Router

    Im Nachklapp zu einem Workshop, an dem Hersteller die technischen Voraussetzungen für die freie Routerwahl präsentiert haben, sickerte durch, dass die die Zahl der Router und damit der freie Markt eingedämmt werden könnte.

  2. Hacker-Gruppe nutzte offenbar Windows-Feature für Backdoor

    Hacker

    Die Hacker-Gruppe Platinum soll Microsoft zufolge über den Hotpatching-Ansatz von Windows eine Hintertür in Systeme geöffnet haben. Ein solches Angriffsszenario wurde bereits 2013 beschrieben.

  3. Fahrbericht Triumph Bonneville T120

    Zweirad

    Die Bonneville T120 sieht dem Vorgängermodell immer noch sehr ähnlich, ist aber von Grund auf neu konstruiert. Ihr Motor ist wegen neuer Abgasnormen und für mehr Leistung wassergekühlt. "Mehr Leistung" beschreibt es allerdings nur unzureichend: Die Art ihrer Kraftentfaltung kann süchtig machen

  4. Android-TV-Fernbedienung für iOS

    Android-TV-Fernbedienung für iOS

    Fernseher und Set-Top-Boxen mit Android-Betriebssystem lassen sich künftig auch von iPhone und iPad aus kontrollieren. Der Funktionsumfang fällt allerdings eher rudimentär aus.

Anzeige