Logo von heise online

Suche
Daniel Bachfeld 36

Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Anzeige

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

  1. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  2. Sicherheitsfirma warnt vor iOS-Killer-Funktion

    iPhone 6

    Ein bösartiger Hotspot könnte iOS-Geräte in einen endlosen Reboot-Cycle schicken, warnt eine Sicherheitsfirma. Ursache ist anscheinend ein Fehler in Apples Verschlüsselungsimplementierung.

  3. Zeitlos: Neue Angriffe auf NTP verwirren das Klientel von Zeitservern

    Neue NTP-Version erschwert Amgriffe auf Zeitserver

    Mit einem Update des Zeitsynchronisations-Dienstes NTP reagieren die Entwickler auf eine Reihe von neuen Angriffen. Damit lässt sich die Kommunikation zwischen Servern und Clients so manipulieren, dass die Clients falsche oder gar keine Zeiten bekommen.

  4. Sicherheitslücken im Android-Multimedia-System eskalieren

    Google-Android

    Die Schwachstellen im Multimedia-System sind gefährlicher als zuerst vermutet: Mit manipulierten MP4-Videos könnten Angreifer Kontrolle übers Smartphone erlangen.

  1. Kernel-Log – Was 3.9 bringt (3): Treiber & Netzwerk

    Linux 3.9 enthält Treiber für neue Grafikchips von AMD und im Sommer erwartete WLAN-Chips von Intel. Durch Änderungen am Netzwerk-Subsystem soll der Kernel den Netzwerkverkehr nun besser auf mehrere Prozessorkerne verteilen können.

  2. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  3. So funktioniert der Heartbleed-Exploit

    Heartbleed-Diagram

    Auf erstaunlich einfache Art und Weise können Angreifer wichtige Daten wie Passwörter und geheime Schlüssel von einem Server stehlen - nur weil ein einziger Check vergessen wurde.

  1. Frühjahrsputz: SSD statt Festplatte

    3D-Drucker: Kleiner, besser, billiger

    Die Preise für SSDs purzeln und es gibt kein Bauteil, das einem (alten) PC oder Notebook wieder so auf die Füße helfen kann. Doch was sollte man beim Einbau des schnellen Festspeichers und dem Umzug des Systems alles beachten?

  2. US-Hotels setzen Roboter als Zimmerservice ein

    US-Hotels setzt Roboter als Zimmerservice ein

    Relay heißt der Roboterbutler, der inzwischen in einigen US-Hotels den Gästen Getränke, Snacks und Kleinigkeiten ans Zimmer liefert. Nur nasse Handtücher mag er offenbar nicht.

  3. Grafikeffekte am Beispiel von "Rise of the Tomb Raider" erklärt

    Tomb Raider

    Seit ein paar Tagen reden alle nur noch von Laras Haaren. Doch nicht nur die Haarsimulation "Pure Hair" beeindruckt, auch verbesserte Ambient Occlusion, Hardware-Tessellation et cetera hieven Spiele auf ein neues grafisches Niveau.

  4. Honda hat seine CB 500 F / CBR 500 R renoviert

    Zweirad

    Honda hat seine Halbliter-Motorräder für die 48-PS-Klasse raffiniert renoviert. Motor und Fahrwerk der Schwestermodelle CB 500 F und der CBR 500 R wurden von den Vorgängerinnen übernommen, aber das Design so geschickt überarbeitet, dass sie wesentlich moderner und attraktiver wirken

Anzeige