Logo von heise online

Suche
Daniel Bachfeld 8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Anzeige

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

Anzeige
  1. Kritischer OpenSSL-Patch voraus

    Kritischer OpenSSL-Patch voraus

    Am Donnerstag will das OpenSSL-Team eine Sicherheitslücke beseitigen.

  2. Foto-CMS Koken sucht Käufer

    Koken.me

    Mit Koken können Fotografen ohne viel Aufwand schicke Foto-Websites erzeugen und verwalten. Nun steht das Content-Management-System zum Verkauf: "Make us an offer", fordern die Entwickler.

  3. NetObjects kauft Foto-CMS Koken

    Foto-CMS Koken

    Im Juli hatten die Entwickler ihr Foto-CMS Koken zum Verkauf angeboten: "Make us an offer". Nun hat NetObjects zugeschlagen, der Hersteller des Webeditors Fusion. Für Kunden soll sich nichts ändern.

  4. Badlock: Patches schließen Lücken in Windows und Samba-Servern

    Badlock: Patches schließen Lücken in Windows und Samba-Servern

    Mit dem aktuellen Patch-Day hat Microsoft im Windows-Server eine Lücke geschlossen, die auch in Samba klafft und die von den Entwicklern der freien Server-Alternative entdeckt worden ist. Sie betrifft nicht das SMB-Protokoll, sondern RPC-Dienste.

  1. Kernel-Log – Was 3.17 bringt (3): Treiber

    Der Linux-Kernel unterstützt 4K-Monitore und moderne Radeon-Chips besser. Thunderbolt soll nun auch bei Apple-Systemen funktionieren. Der Rauswurf von mehr als einem Dutzend Treibern dürfte den Codeumfang von 3.17 gegenüber seinen Vorgängern verkleinern.

  2. Kernel-Log – Was 3.17 bringt (2): Infrastruktur

    Der Kernel bietet nun Funktionen zur effizienteren Interprozess-Kommunikation. Ein neuer Mechanismus zur Abfrage von Zufallszahlen beseitigt zwei Probleme, die zu schwacher Kryptographie führen können.

  3. Kernel-Log – Was 3.19 bringt (1): Dateisysteme und Storage

    Die Kernel-Entwickler haben die RAID-5/6-Unterstützung von Btrfs verbessert. Der NVMe-Treiber nutzt jetzt eine noch junge Infrastruktur, die deutliche Leistungsgewinne bei PCIe-SSDs verspricht. Neu dabei sind auch zwei Treiber für steinalte SCSI-Controller.

  1. Auf dem Muscle Bike Victory Octane

    Zweirad

    „American Muscle” nennt der US-Hersteller Victory sein sportlichstes Modell, die Octane. Wir haben die durchtrainierte Maschine bereits im März vorgestellt, nun folgt der Fahrbericht

  2. Kaufberatung: Objektive

    Kaufberatung: Objektive

    Wer sich eine Spiegelreflex- oder spiegellose Systemkamera zulegt, steht sogleich auch vor der Frage, welches oder welche Objektive er sich dazu anschaffen soll. Die Auswahl ist riesig, lässt sich aber mit ein paar Tipps leicht eingrenzen.

  3. KTM 390 Duke Langstreckentest

    KTM 390 Duke Langstreckentest

    Die kleine KTM 390 Duke hält sich seit ihrem Erscheinen 2013 erfolgreich unter den beliebtesten Bikes. Letztes Jahr war sie sogar die meistverkaufte KTM. Was macht das einzylindrige Naked Bike so beliebt? Wir haben die österreichisch-indische Koproduktion einem Langzeit-Test unterzogen

  4. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

Anzeige