Logo von heise online

Suche
Daniel Bachfeld 8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

Anzeige
  1. Kritischer OpenSSL-Patch voraus

    Kritischer OpenSSL-Patch voraus

    Am Donnerstag will das OpenSSL-Team eine Sicherheitslücke beseitigen.

  2. Foto-CMS Koken sucht Käufer

    Koken.me

    Mit Koken können Fotografen ohne viel Aufwand schicke Foto-Websites erzeugen und verwalten. Nun steht das Content-Management-System zum Verkauf: "Make us an offer", fordern die Entwickler.

  3. NetObjects kauft Foto-CMS Koken

    Foto-CMS Koken

    Im Juli hatten die Entwickler ihr Foto-CMS Koken zum Verkauf angeboten: "Make us an offer". Nun hat NetObjects zugeschlagen, der Hersteller des Webeditors Fusion. Für Kunden soll sich nichts ändern.

  4. Badlock: Patches schließen Lücken in Windows und Samba-Servern

    Badlock: Patches schließen Lücken in Windows und Samba-Servern

    Mit dem aktuellen Patch-Day hat Microsoft im Windows-Server eine Lücke geschlossen, die auch in Samba klafft und die von den Entwicklern der freien Server-Alternative entdeckt worden ist. Sie betrifft nicht das SMB-Protokoll, sondern RPC-Dienste.

  1. Kernel-Log – Was 3.17 bringt (3): Treiber

    Der Linux-Kernel unterstützt 4K-Monitore und moderne Radeon-Chips besser. Thunderbolt soll nun auch bei Apple-Systemen funktionieren. Der Rauswurf von mehr als einem Dutzend Treibern dürfte den Codeumfang von 3.17 gegenüber seinen Vorgängern verkleinern.

  2. Kernel-Log – Was 3.16 bringt (2): Infrastruktur

    Optimierungen am Locking-Code können die Performance signifikant verbessern. Ein neues Skript vereinfacht die Fehleranalyse. Fortschritte gibt es bei der Überarbeitung des Cgroups-Codes.

  3. Kernel-Log – Was 3.17 bringt (2): Infrastruktur

    Der Kernel bietet nun Funktionen zur effizienteren Interprozess-Kommunikation. Ein neuer Mechanismus zur Abfrage von Zufallszahlen beseitigt zwei Probleme, die zu schwacher Kryptographie führen können.

  1. Bye, bye Windows: Umsteigen auf Linux leicht gemacht

    Bye, bye Windows: Umsteigen auf Linux leicht gemacht

    Keine Lust mehr auf Windows? Dann arbeiten Sie doch mit Ubuntu! Wie man einfach und gefahrlos von einem zum anderen System wechselt, zeigt das neue c't Special "Umstieg auf Linux", das ab heute am Kiosk liegt.

  2. Microsoft führt dynamische Blacklist für allzu simple Passwörter ein

    Microsoft führt dynamische Blacklist für häufige Passwörter ein

    Nach mehreren Leaks von Datenbanken mit zahlreichen Einfachst-Passwörtern will Microsoft für seine Dienste gefährlich einfache und von Hackern häufig für Angriffe verwendete Passphrasen verbieten.

  3. Bundesministerien offenbar uneins über Haftungsfragen beim autonomen Fahren

    Bundesministerien offenbar uneins über Haftungsfragen beim autonomen Fahren

    Verkehrsminister Alexander Dobrindt will Fahrer autonomer Autos von der Haftung befreien. Justizminister Heiko Maas stellt sich quer.

  4. Kraftwerk vs. Pelham: Karlsruhe urteilt zum Urheberschutz beim Sampling

    Kopfhörer

    Bäng-dänge-däng-däng. Um einen kopierten Zwei-Sekunden-Rhythmus tobt seit Jahren ein juristischer Streit, der die Musikbranche spaltet. Nun entscheidet das Bundesverfassungsgericht: Wem gehört der Beat?

Anzeige