Logo von heise online

Suche
36

Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Anzeige

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

  1. Sieben auf einen Streich: OpenSSL schließt Sicherheitslücken

    Die weit verbreitete und durch den Heartbleed-Bug gebeutelte Kryptobibliothek OpenSSL schließt weitere Sicherheitslücken. Mindestens eine davon ermöglicht es, den Datenstrom zu entschlüsseln.

  2. Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL

    Ein äußerst schwerwiegender Programmierfehler gefährdet offenbar Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Angesichts der Verbreitung der OpenSource-Bibliothek eine ziemliche Katastrophe.

  3. Firewall IPFire: Update schließt OpenSSL-Lücken

    Die Firewall IPFire arbeitet auch mit OpenVPN zusammen.

    Das Core Update 81 für die Firewall IPFire schließt insgesamt 9 Sicherheitslücken in der OpenSSL-Implementierung und behebt kleinere Fehler.

  1. Kernel-Log – Was 3.9 bringt (3): Treiber & Netzwerk

    Linux 3.9 enthält Treiber für neue Grafikchips von AMD und im Sommer erwartete WLAN-Chips von Intel. Durch Änderungen am Netzwerk-Subsystem soll der Kernel den Netzwerkverkehr nun besser auf mehrere Prozessorkerne verteilen können.

  2. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  3. So funktioniert der Heartbleed-Exploit

    Heartbleed-Diagram

    Auf erstaunlich einfache Art und Weise können Angreifer wichtige Daten wie Passwörter und geheime Schlüssel von einem Server stehlen - nur weil ein einziger Check vergessen wurde.

  1. IT-Ausfall im Jobcenter: Auch die Software war schuld

    IT-Ausfall im Jobcenter: Auch die Software war schuld

    Die defekte Netzwerkkomponente war offenbar nicht alleine für die IT-Probleme bei der Bundesagentur für Arbeit vor einer Woche verantwortlich. Am Dienstag führte ein fehlgeschlagenes Software-Update zu Ausfällen.

  2. Superscharfe Sonnenfotos: Luftunruhen per Stacking bändigen

    Superscharfe Sonnenfotos: Luftunruhen per Stacking bändigen

    Für hochaufgelöste Fotos der Sonne oder einer Sonnenfinsternis muß man erheblichen Aufwand betreiben. Luftunruhen machen selbst den besten Objektiven zu schaffen, es gibt aber Software, die Abhilfe verspricht.

  3. Megacity-Nabe

    Zweirad

    Zehus Bike+ ist eine elektrifizierte Nabe, die potenziell aus jedem Drahtesel ein Pedelec macht. Das System vereint einen Elektromotor, ein Batteriepaket inklusive Managementsoftware sowie die Bluetooth-Anbindung mit Steuerung über eine App. Und: Das Ding macht richtig Spaß

  4. Hartz IV-Softwarehersteller ProSoz vom Aus bedroht

    Das Hertener Softwarehaus ProSoz steht nach einem Bericht der Hertener Allgemeinen kurz vor der Pleite.

Anzeige