Logo von heise online

Suche
8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Anzeige

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

  1. OpenSSL liefert Freak-Update

    SSL

    Mit neuen Versionen der Kryptobibliothek OpenSSL schließt das Team des Open-Source-Projektes eine ganze Reihe von Schwachstellen; darunter auch die Freak-Lücke. Admins sollten die Updates umgehend einspielen.

  2. Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL

    Ein äußerst schwerwiegender Programmierfehler gefährdet offenbar Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Angesichts der Verbreitung der OpenSource-Bibliothek eine ziemliche Katastrophe.

  3. Firewall IPFire: Update schließt OpenSSL-Lücken

    Die Firewall IPFire arbeitet auch mit OpenVPN zusammen.

    Das Core Update 81 für die Firewall IPFire schließt insgesamt 9 Sicherheitslücken in der OpenSSL-Implementierung und behebt kleinere Fehler.

  1. Schrittweise: Versionsnummern richtig vergeben

    Um eine Versionsnummer zu vergeben, muss man sich für ein System entscheiden – bloß für welches? Jahreszahlen oder klassische Versionsnummern? Ohne oder mit Nachkommastellen? SemVer definiert einen einheitlichen und leicht verständlichen Standard.

  2. Kernel-Log – Was 3.13 bringt (3): Infrastruktur

    Linux 3.13 entlockt Multiprozessor-Systemen mehr Leistung. Es lassen sich jetzt Kernel kompilieren, die bis zu 8192 CPU-Kerne unterstützen. Zahlreiche Verbesserungen gab es beim Zufallsdaten-Generator.

  3. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  1. c't uplink 6.2: GTA V, gefälschte Smartphone-Akkus, Vorratsdatenspeicherung

    c't uplink 6.2: GTA V, gefälschte Smartphone-Akkus, Vorratsdatenspeicherung

    Diesmal geht es im Podcast aus der c't-Redaktion um GTA V auf dem PC, gefälschte Samsung-Akkus bei Amazon und das leidige Thema der Vorratsdatenspeicherung.

  2. Mindestens 100.000 IP-Telefone von Telekomkunden stundenlang stumm

    Mindestens 100.000 IP-Telefone von Telekomkunden stundenlang stumm

    Eine technische Panne sorgte dafür, dass tausende IP-basierte Anschlüsse ausgefallen sind.

  3. Android for Work isoliert und verwaltet Firmendaten

    Android for Work isoliert und verwaltet Firmendaten

    Googles neue Business-App trennt auf Smartphone und Tablet das Geschäftliche vom Privaten und soll die Android-Welt auch in Unternehmen etablieren.

  4. Luxus light

    BMW 7er

    Der nächste 7er, der auf der IAA 2015 vorgestellt wird, wirkt auf den ersten Blick so vorsichtig wie die Generation von 1994 oder auch die aktuelle Ausgabe. Dieser erste Eindruck könnte täuschen, denn BMW hat die Limousine im Verborgenen fit für die Zukunft gemacht

Anzeige