Logo von heise online

Suche
8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Anzeige

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

  1. OpenSSL liefert Freak-Update

    SSL

    Mit neuen Versionen der Kryptobibliothek OpenSSL schließt das Team des Open-Source-Projektes eine ganze Reihe von Schwachstellen; darunter auch die Freak-Lücke. Admins sollten die Updates umgehend einspielen.

  2. Firewall IPFire: Update schließt OpenSSL-Lücken

    Die Firewall IPFire arbeitet auch mit OpenVPN zusammen.

    Das Core Update 81 für die Firewall IPFire schließt insgesamt 9 Sicherheitslücken in der OpenSSL-Implementierung und behebt kleinere Fehler.

  3. Hoffnung für Node.js-Community: io.js 1.0 planmäßig veröffentlicht

    Eine neue Hoffnung: io.js 1.0 planmäßig veröffentlicht

    Der Node.js-Fork io.js wurde in Version 1.0 veröffentlicht. Das ist aus verschiedenen Gründen eine gute Neuigkeit für Entwickler und die gesamte Node.js-Community.

  1. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  2. Kernel-Log – Was 3.13 bringt (3): Infrastruktur

    Linux 3.13 entlockt Multiprozessor-Systemen mehr Leistung. Es lassen sich jetzt Kernel kompilieren, die bis zu 8192 CPU-Kerne unterstützen. Zahlreiche Verbesserungen gab es beim Zufallsdaten-Generator.

  3. Kernel-Log – Was 3.17 bringt (3): Treiber

    Der Linux-Kernel unterstützt 4K-Monitore und moderne Radeon-Chips besser. Thunderbolt soll nun auch bei Apple-Systemen funktionieren. Der Rauswurf von mehr als einem Dutzend Treibern dürfte den Codeumfang von 3.17 gegenüber seinen Vorgängern verkleinern.

  1. Großgezogen

    Skodas Superb, das ist viel Platz und Alltagsnutzen bei einem kaum zu schlagenden Preis-Leistungs-Verhältnis. Was den Platz angeht, ist der Superb Combi davon noch eine Steigerung. Mehr Volumen bietet in seiner Klasse niemand. Eine Probefahrt mit dem 150-PS-Diesel

  2. Schwarzbrenner

    Fahrbericht Volvo V70 D4

    Der Volvo V70 hat kurz vor dem Modellwechsel einen modernen Vierzylinder-Diesel mit 181 PS bekommen. Ganz neu ist das Sondermodell "Black Edition" mit serienmäßigem Sportfahrwerk. Wie fährt sich der schwere Kombi in dieser Kombination?

  3. Bewährleistung

    Der A4 ist für Audi weltweit ein wichtiges Produkt. In neuer Generation wird er auf der IAA in Frankfurt vom 17. bis 27. September vorgestellt und wird im November in den Handel gebracht. Jetzt hat Audi erste Details des äußerlich nur wenig veränderten Modells bekanntgegeben

  4. Sitzenprodukt

    Viel Platz, hohe Flexibilität und eine weiter gesteigerte Fahrdynamik zeichnen den neuen Ford-Van aus

    Die dritte Generation des Ford Galaxy ist leicht zu erkennen. Die typisch neue Ford-Front mit dem Aston Martin-Grill und den schmalen LED-Scheinwerfern und ein flottes Heck verraten sie sofort. Wir haben uns auf die Suche nach den inneren Werten begeben und dem Fahrverhalten nachgespürt

Anzeige