Logo von heise online

Suche
Daniel Bachfeld 36

Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

Anzeige
  1. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  2. Sicherheitsfirma warnt vor iOS-Killer-Funktion

    iPhone 6

    Ein bösartiger Hotspot könnte iOS-Geräte in einen endlosen Reboot-Cycle schicken, warnt eine Sicherheitsfirma. Ursache ist anscheinend ein Fehler in Apples Verschlüsselungsimplementierung.

  3. Zeitlos: Neue Angriffe auf NTP verwirren das Klientel von Zeitservern

    Neue NTP-Version erschwert Amgriffe auf Zeitserver

    Mit einem Update des Zeitsynchronisations-Dienstes NTP reagieren die Entwickler auf eine Reihe von neuen Angriffen. Damit lässt sich die Kommunikation zwischen Servern und Clients so manipulieren, dass die Clients falsche oder gar keine Zeiten bekommen.

  4. Sicherheitslücken im Android-Multimedia-System eskalieren

    Google-Android

    Die Schwachstellen im Multimedia-System sind gefährlicher als zuerst vermutet: Mit manipulierten MP4-Videos könnten Angreifer Kontrolle übers Smartphone erlangen.

  1. Die Neuerungen von Linux 4.4

    Der Linux-Kernel 4.4 bringt Grafiktreiber für den Raspi und die 3D-Beschleunigung unter KVM mit. Neue Ansätze im Block-Layer versprechen High-End-SSDs mehr Leistung zu entlocken. Verbesserungen im Netzwerk-Subsystem sollen die Geschwindigkeit steigern und dadurch DDoS-Attacken erschweren.

  2. Was Fedora 23 Neues bringt

    Fedora-Desktop

    Fedora will das BIOS-Update erleichtern und macht Fortschritte beim Umstieg auf Wayland. Neu ist auch eine Cinnamon-Distribution und Unterstützung für OpenGL 4.1.

  3. Kernel-Log – Was 3.17 bringt (3): Treiber

    Der Linux-Kernel unterstützt 4K-Monitore und moderne Radeon-Chips besser. Thunderbolt soll nun auch bei Apple-Systemen funktionieren. Der Rauswurf von mehr als einem Dutzend Treibern dürfte den Codeumfang von 3.17 gegenüber seinen Vorgängern verkleinern.

  1. Erpressungstrojaner: Wer Pech hat, zahlt zweimal

    Erpressungstrojaner: Wer Pech hat, zahlt zweimal

    Ein Krankenhaus in den USA zahlte das Lösegeld, das Ransomware-Erpresser verlangten. Die Erpresser forderten prompt eine Nachzahlung.

  2. NASA will aufblasbares Modul an der ISS testen

    NASA will aufblasbares Modul an der ISS testen

    Am Donnerstag will die NASA ein ungewöhnliches neues Modul an der ISS installieren – es soll aufgeblasen werden, nachdem es platzsparend ins All transportiert wurde. Seine Nachfolger könnten Reisenden zum Mars künftig mehr Platz bieten.

Anzeige