Logo von heise online

Suche
8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Anzeige

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

  1. OpenSSL liefert Freak-Update

    SSL

    Mit neuen Versionen der Kryptobibliothek OpenSSL schließt das Team des Open-Source-Projektes eine ganze Reihe von Schwachstellen; darunter auch die Freak-Lücke. Admins sollten die Updates umgehend einspielen.

  2. Kritischer OpenSSL-Patch voraus

    Kritischer OpenSSL-Patch voraus

    Am Donnerstag will das OpenSSL-Team eine Sicherheitslücke beseitigen.

  3. Firewall IPFire: Update schließt OpenSSL-Lücken

    Die Firewall IPFire arbeitet auch mit OpenVPN zusammen.

    Das Core Update 81 für die Firewall IPFire schließt insgesamt 9 Sicherheitslücken in der OpenSSL-Implementierung und behebt kleinere Fehler.

  1. Kernel-Log – Was 3.13 bringt (3): Infrastruktur

    Linux 3.13 entlockt Multiprozessor-Systemen mehr Leistung. Es lassen sich jetzt Kernel kompilieren, die bis zu 8192 CPU-Kerne unterstützen. Zahlreiche Verbesserungen gab es beim Zufallsdaten-Generator.

  2. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  3. Kernel-Log – Was 3.17 bringt (3): Treiber

    Der Linux-Kernel unterstützt 4K-Monitore und moderne Radeon-Chips besser. Thunderbolt soll nun auch bei Apple-Systemen funktionieren. Der Rauswurf von mehr als einem Dutzend Treibern dürfte den Codeumfang von 3.17 gegenüber seinen Vorgängern verkleinern.

  1. Wieder ein Dauerläufer?

    Die aktuelle Mercedes C-Klasse ist seit sechs Jahren auf dem Markt. Ihren Vorgänger, der mit starken Rostproblemen zu kämpfen hatte, lässt sie qualitativ deutlich hinter sich. Wir zeigen, auf was sie beim Kauf einer gebrauchten C-Klasse achten sollten

  2. Luxus light

    BMW 7er

    Da die ganz großen Sprünge im Segment der Luxusklasse vorbei sind, bleibt den Herstellern kaum mehr, als das Design dem Zeitgeschmack anzupassen und noch mehr Elektronik einzubauen. Dieses Rezept verfolgt auch BMW mit der nächsten Auflage der 7er-Reihe

  3. Umfassender Performancevergleich: Lightroom 5 vs. Lightroom 6

    Umfassender Performancevergleich: Lightroom 5 vs. Lightroom 6

    Bei früheren Tests zeigte Lightroom 6 auf unserem Redaktionsrechner eine schlechtere Performance als Lightroom 5. Laut Adobe war das ein Einzelfall. Wir haben daher mit überarbeiteten Benchmarks in einem großen Pool von Testrechnern erneut getestet.

  4. Baby Revolution

    Das hätte von Harley-Davidson wohl niemand erwartet: Statt wie gewohnt mit immer größeren Motoren aufzutrumpfen, präsentierten die Amerikaner auf der EICMA in Mailand zwei kleine Modelle mit 750 und sogar nur 500 Kubik

Anzeige