Logo von heise online

Suche
36

Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Anzeige

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

  1. Sieben auf einen Streich: OpenSSL schließt Sicherheitslücken

    Die weit verbreitete und durch den Heartbleed-Bug gebeutelte Kryptobibliothek OpenSSL schließt weitere Sicherheitslücken. Mindestens eine davon ermöglicht es, den Datenstrom zu entschlüsseln.

  2. Firewall IPFire: Update schließt OpenSSL-Lücken

    Die Firewall IPFire arbeitet auch mit OpenVPN zusammen.

    Das Core Update 81 für die Firewall IPFire schließt insgesamt 9 Sicherheitslücken in der OpenSSL-Implementierung und behebt kleinere Fehler.

  3. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  1. Kernel-Log – Was 3.9 bringt (3): Treiber & Netzwerk

    Linux 3.9 enthält Treiber für neue Grafikchips von AMD und im Sommer erwartete WLAN-Chips von Intel. Durch Änderungen am Netzwerk-Subsystem soll der Kernel den Netzwerkverkehr nun besser auf mehrere Prozessorkerne verteilen können.

  2. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  3. Kernel-Log – Was 3.11 bringt (1): Dateisysteme & Storage

    Das Anlegen temporärer Dateien wird mit Linux 3.11 sicherer. NFS unterstützt jetzt SELinux und das Cluster-Dateisystem Lustre hat es trotz einiger Querelen in den Staging-Bereich geschafft.

  1. Windows 10: Microsoft sichert sich für die Auslieferung 40 Terabit/s Traffic bei CDNs

    Microsoft startet Auslieferung von Windows 10

    Um Windows 10 möglichst reibungslos an alle Interessenten zu verteilen, hat Microsoft angeblich eine Rekordmenge an Bandbreite bei Content Delivery Networks gebucht. Möglich sei aber trotzdem, dass es zu viel wird, meint ein Branchendienst.

  2. Amazon Web Services: AWS Mobile SDK für .NET unterstützt Android

    AWS Mobile SDK für .NET  unterstützt Android

    Für das .NET-Entwicklungskit von Amazon Web Services ist eine Preview mit Xamarin-Support erschienen.

  3. Die Git-Stolperfalle: Viele Webseiten geben sensible Daten preis

    Hacker

    Wenn Web-Admins beim Hochladen von Projekten nicht aufpassen, stellen sie unter Umständen ohne es mitzubekommen Passwort-Datenbanken und weitere schützenswerte Daten zum Abruf für jedermann bereit.

  4. Forschern gelingt Datenklau bei Offline-Computer

    Cybersicherheit

    Von öffentlichen Netzen logisch und physisch isolierte Systeme sind nicht nicht zwingend unangreifbar. Sicherheitsexperten der israelischen Ben-Gurion-Universität haben eine weitere Methode des Zugriffs gezeigt - via GSM.

Anzeige