Logo von heise online

Suche
8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Anzeige

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

  1. Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL

    Ein äußerst schwerwiegender Programmierfehler gefährdet offenbar Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Angesichts der Verbreitung der OpenSource-Bibliothek eine ziemliche Katastrophe.

  2. OpenSSL liefert Freak-Update

    SSL

    Mit neuen Versionen der Kryptobibliothek OpenSSL schließt das Team des Open-Source-Projektes eine ganze Reihe von Schwachstellen; darunter auch die Freak-Lücke. Admins sollten die Updates umgehend einspielen.

  3. Firewall IPFire: Update schließt OpenSSL-Lücken

    Die Firewall IPFire arbeitet auch mit OpenVPN zusammen.

    Das Core Update 81 für die Firewall IPFire schließt insgesamt 9 Sicherheitslücken in der OpenSSL-Implementierung und behebt kleinere Fehler.

  1. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  2. Kernel-Log – Was 3.13 bringt (3): Infrastruktur

    Linux 3.13 entlockt Multiprozessor-Systemen mehr Leistung. Es lassen sich jetzt Kernel kompilieren, die bis zu 8192 CPU-Kerne unterstützen. Zahlreiche Verbesserungen gab es beim Zufallsdaten-Generator.

  3. Kernel-Log – Was 3.17 bringt (3): Treiber

    Der Linux-Kernel unterstützt 4K-Monitore und moderne Radeon-Chips besser. Thunderbolt soll nun auch bei Apple-Systemen funktionieren. Der Rauswurf von mehr als einem Dutzend Treibern dürfte den Codeumfang von 3.17 gegenüber seinen Vorgängern verkleinern.

  1. Skandal um gefälschte Titel: Pakistanischer IT-Konzern-Chef festgenommen

    Skandal um gefälschte Titel: Pakistanischer IT-Konzern-Chef festgenommen

    Asiatischer Wirtschaftskrimi: Der nach eigenen Angaben "weltweit führende IT- Konzern" Axact wird des schwunghaften Handels mit falschen akademischen Titeln und Zertifikaten beschuldigt.

  2. Im Wunderland

    Die Türkei wird immer wichtiger für Automobilhersteller aus aller Welt, jedoch vor allem als Produktionsstandort. So wundert es kaum, dass sich auf den rund 100.000 Quadratmetern der Istanbul Autoshow nahezu keine automobile Neuheit ausmachen lässt

  3. Zulassungszwerge: Zwischen Auslaufmodell und Luxusmobil

    Die Zulassungszahlen für Neufahrzeuge machen dem Autohandel wieder mehr Freude. 291.396 Bundesbürger ließen im April ein neues Auto zu. Wie seit Jahrzehnten steht der VW Golf an erster Stelle. Am Tabellenende stehen zehn Modelle, die im April maximal drei Neue auf die Straße brachten

  4. 15" MacBook Pro: Benchmark-Test zeigt erheblich flottere SSD

    15" MacBook Pro: Erste Messwerte zur schnelleren SSD

    Apple hat eine Geschwindigkeitsverdopplung beim Flash-Speicher der neuen 15-Zoll-Modelle versprochen – Mac & i hat die Lese- und Schreibgeschwindigkeit gemessen.

Anzeige