Logo von heise online

Suche
preisvergleich_weiss

Recherche in 1.515.324 Produkten

Daniel Bachfeld 8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Anzeige

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

Anzeige
  1. Badlock: Patches schließen Lücken in Windows und Samba-Servern

    Badlock: Patches schließen Lücken in Windows und Samba-Servern

    Mit dem aktuellen Patch-Day hat Microsoft im Windows-Server eine Lücke geschlossen, die auch in Samba klafft und die von den Entwicklern der freien Server-Alternative entdeckt worden ist. Sie betrifft nicht das SMB-Protokoll, sondern RPC-Dienste.

  2. Linux: Kdbus soll universeller werden, Videos von Systemd-Konferenz

    Linux: Kdbus soll universeller werden, Videos von Systemd-Konferenz

    Der IPC-Dienst Kdbus wird umgebaut, damit er einige von D-Bus übernommene Schwächen ablegt. Das wurde auf der ersten Systemd-Konferenz bekannt; Mitschnitte der dort gehaltenen Vorträge gibt es bei YouTube.

  3. Windows-Update für Secure-Boot-Fehler macht BIOS-Updates erforderlich

    UEFI Secure Boot im BIOS-Setup

    Mit dem Patch 3193479 beziehungsweise 3200970 für aktuelle Windows-(Server-)Versionen korrigiert Microsoft einen Bug in UEFI Secure Boot, doch einige Server starten danach nicht mehr.

  4. iOS-Datumsfehler schickt Mails aus den Siebzigern

    iOS-Datumsfehler schickt Mails aus den Siebzigern

    Nutzer klagen über Probleme mit der E-Mail-Anwendung auf iPhone und iPad. Die zeigt unter Umständen uralte Phantommails an.

  1. Kernel-Log – Was 3.19 bringt (1): Dateisysteme und Storage

    Tekrams PCI-SCSI-Hostadapter der DC-390-Serie.

    Die Kernel-Entwickler haben die RAID-5/6-Unterstützung von Btrfs verbessert. Der NVMe-Treiber nutzt jetzt eine noch junge Infrastruktur, die deutliche Leistungsgewinne bei PCIe-SSDs verspricht. Neu dabei sind auch zwei Treiber für steinalte SCSI-Controller.

  2. Kernel-Log – Was 3.19 bringt (4): Treiber

    Ab Linux 3.19 können neuere Intel-Prozessoren ihre Taktfrequenz selbst regeln. Einige Erweiterungen schaffen Grundlagen zur besseren Unterstützung von 4k-Monitoren und Mehrschirmkonfigurationen. Der Nouveau-Treiber bietet nun Basis-Support für Nvidias neueste Chips.

  3. SSL/TLS-Netzwerkprogrammierung mit Boost.Asio, Teil 1: Grundlagen

    SSL/TLS-Netzwerkprogrammierung mit Boost.Asio - Teil 1: Grundlagen

    Im Umfeld von C++ verspricht Boost.Asio, eine einfache, plattformübergreifende Möglichkeit zur Netzwerkprogrammierung zu sein. Dazu gehört auch das Absichern der Verbindungen mit SSL beziehungsweise TLS.

  1. Großstörung bei der Telekom: Was wirklich geschah

    Telekom-Router-Ausfall: Speedports nicht anfällig für TR-069-Exploit

    Ein Sicherheitsexperte hat die Reaktion eines der anfälligen Speedport-Modelle analysiert und kommt zu einer überraschenden Erkenntnis: Die Geräte waren gar nicht anfällig für die TR-069-Sicherheitslücke.

  2. Billigauto-Erfolg in Indien: Renault Kwid

    Woran VW konsequent scheitert, gelingt Renault: Mit dem Billigwagen Kwid haben die Franzosen einen Coup auf dem indischen Automarkt gelandet. Das Mini-SUV fährt sich erstaunlich erwachsen

  3. Glasfaserausbau: Mit Microtrenching kommt Fibre to the Farm

    Glasfaserausbau: Mit Microtrenching kommt Fibre to the Farm

    Unitymedia baut in Südbaden sein Netz auch im ländlichen Raum aus. Mit einem schonenden Verlegeverfahren wird die Glasfaser bis ins Haus gelegt – und auf den Bauernhof.

  4. AirDroid-App gefährdet potenziell Millionen Android-Nutzer

    AirDroid-App gefährdet potenziell Millionen Android-Nutzer

    Wer die Fernwartungs-App AirDroid mit einem Android-Endgerät etwa in einem öffentlichen WLAN nutzt, kann Angreifern Tür und Tor öffnen.

Anzeige