Logo von heise online

Suche
Daniel Bachfeld 36

Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Anzeige

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

Anzeige
  1. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  2. Zeitlos: Neue Angriffe auf NTP verwirren das Klientel von Zeitservern

    Neue NTP-Version erschwert Amgriffe auf Zeitserver

    Mit einem Update des Zeitsynchronisations-Dienstes NTP reagieren die Entwickler auf eine Reihe von neuen Angriffen. Damit lässt sich die Kommunikation zwischen Servern und Clients so manipulieren, dass die Clients falsche oder gar keine Zeiten bekommen.

  3. Sicherheitslücken im Android-Multimedia-System eskalieren

    Google-Android

    Die Schwachstellen im Multimedia-System sind gefährlicher als zuerst vermutet: Mit manipulierten MP4-Videos könnten Angreifer Kontrolle übers Smartphone erlangen.

  4. Geleakte NSA-Exploits: Cisco patcht Zero-Day-Lücke

    Netzwerkkabel

    Firewalls von Cisco sind verwundbar und Angreifer können unter Umständen eigenen Code ausführen und Systeme übernehmen. Sicherheits-Patches sind verfügbar.

  1. Was Fedora 23 Neues bringt

    Fedora-Desktop

    Fedora will das BIOS-Update erleichtern und macht Fortschritte beim Umstieg auf Wayland. Neu ist auch eine Cinnamon-Distribution und Unterstützung für OpenGL 4.1.

  2. RESTful mit CoAP

    Aufruf des Arduino-basierten CoAP-Servers mit Copper-Plugin auf Firefox

    Die letzte Folge hat nachrichtenbasierte Kommunikation über das IoT-Protokoll MQTT adressiert. Als Alternative bietet sich CoAP als REST des kleinen Geräts an.

  3. Die Neuerungen von Linux 4.4

    Der Linux-Kernel 4.4 bringt Grafiktreiber für den Raspi und die 3D-Beschleunigung unter KVM mit. Neue Ansätze im Block-Layer versprechen High-End-SSDs mehr Leistung zu entlocken. Verbesserungen im Netzwerk-Subsystem sollen die Geschwindigkeit steigern und dadurch DDoS-Attacken erschweren.

  1. Fiat Tipo 1.6 E-torQ im Test

    Test: Fiat Tipo

    Der neue Fiat Tipo ist einer der preiswertesten Vertreter seiner Klasse. Im Test zeigte sich, dass jene Käufer, die bei Motor und Ausstattung nah an der Basis bleiben, auf einem guten Weg zum besten Tipo sind

  2. Chevrolet Camaro Cabrio 2.0 Turbo

    Downsizing ist relativ und immer öfter bieten amerikanische Autos mit vergleichsweise schmächtigen Vierzylindern ein bedenkenswertes Preis-Leistungs-Verhältnis. Das Chevrolet Camaro Cabriolet wird mit 275 PS in den USA milde belächelt. Unterschätzen sollte man den Zwei-Liter-Motor aber auch nicht

Anzeige