Logo von heise online

Suche
Daniel Bachfeld 8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Anzeige

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

  1. OpenSSL liefert Freak-Update

    SSL

    Mit neuen Versionen der Kryptobibliothek OpenSSL schließt das Team des Open-Source-Projektes eine ganze Reihe von Schwachstellen; darunter auch die Freak-Lücke. Admins sollten die Updates umgehend einspielen.

  2. Hoffnung für Node.js-Community: io.js 1.0 planmäßig veröffentlicht

    Eine neue Hoffnung: io.js 1.0 planmäßig veröffentlicht

    Der Node.js-Fork io.js wurde in Version 1.0 veröffentlicht. Das ist aus verschiedenen Gründen eine gute Neuigkeit für Entwickler und die gesamte Node.js-Community.

  3. Kritischer OpenSSL-Patch voraus

    Kritischer OpenSSL-Patch voraus

    Am Donnerstag will das OpenSSL-Team eine Sicherheitslücke beseitigen.

  4. Foto-CMS Koken sucht Käufer

    Foto-CMS Koken sucht Käufer

    Mit Koken können Fotografen ohne viel Aufwand schicke Foto-Websites erzeugen und verwalten. Nun steht das Content-Management-System zum Verkauf: "Make us an offer", fordern die Entwickler.

  1. Kernel-Log – Was 3.17 bringt (3): Treiber

    Der Linux-Kernel unterstützt 4K-Monitore und moderne Radeon-Chips besser. Thunderbolt soll nun auch bei Apple-Systemen funktionieren. Der Rauswurf von mehr als einem Dutzend Treibern dürfte den Codeumfang von 3.17 gegenüber seinen Vorgängern verkleinern.

  2. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  3. Kernel-Log – Was 3.13 bringt (3): Infrastruktur

    Linux 3.13 entlockt Multiprozessor-Systemen mehr Leistung. Es lassen sich jetzt Kernel kompilieren, die bis zu 8192 CPU-Kerne unterstützen. Zahlreiche Verbesserungen gab es beim Zufallsdaten-Generator.

  1. Alpina B7 Biturbo: Vor der Basis

    Alpina

    Der neue Alpina B7 Biturbo kommt vor dem ähnlich kräftigen BMW 760Li auf den Markt, setzt aber andere Akzente. Schon die Maschine unterscheidet sich: Alpina setzt auf einen Achtzylinder, BMW baut einen Zwölfzylinder ein

  2. eSIM: Was bedeutet die fest verbaute SIM-Karte für die Kunden?

    3D-Drucker: Kleiner, besser, billiger

    Geht es nach den großen Smartphone-Herstellern, würden sie den neuen kartenlosen SIM-Standard lieber heute als morgen einführen. Die fest eingebaute "embedded SIM" soll die bisherigen Chip-Kärtchen ersetzen. Doch was bedeutet das für die Kunden?

  3. Otto Group rückt das Smartphone ins Zentrum des Konzerns

    Otto Group

    Tanker oder Schnellboot? Die Otto Group ist ein Schwergewicht in der Welt des digitalen Handels. Mit neuen Projekten will sich der Konzern gegen innovative Startups behaupten und selbst ein Treiber des digitalen Wandels bleiben.

  4. Gericht kippt Verbot von Kameraüberwachung in Bussen und Bahnen

    Gericht kippt Verbot von Kameraüberwachung in Bussen und Bahnen

    Rund um die Uhr filmen Kameras das Geschehen in Bussen und Bahnen in Hannover. Das geht zu weit, meint der Datenschutz. Auf ein erhöhtes Sicherheitsgefühl setzen die Verkehrsbetriebe. Ein Verbot der Überwachung hat das Gericht in Hannover nun gekippt.

Anzeige