Logo von heise online

Suche
36

Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Anzeige

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

  1. Sieben auf einen Streich: OpenSSL schließt Sicherheitslücken

    Die weit verbreitete und durch den Heartbleed-Bug gebeutelte Kryptobibliothek OpenSSL schließt weitere Sicherheitslücken. Mindestens eine davon ermöglicht es, den Datenstrom zu entschlüsseln.

  2. Firewall IPFire: Update schließt OpenSSL-Lücken

    Die Firewall IPFire arbeitet auch mit OpenVPN zusammen.

    Das Core Update 81 für die Firewall IPFire schließt insgesamt 9 Sicherheitslücken in der OpenSSL-Implementierung und behebt kleinere Fehler.

  3. lost+found: Was von der Woche übrig blieb

    Heute unter anderem mit: allen iOS-Schädlingen, Geldautomaten-Hacking, einem Google-Leck, Trojaner-Tricks, Pentesting-Tipps, einer Android-Lücke und BIND.

  1. Kernel-Log – Was 3.9 bringt (3): Treiber & Netzwerk

    Linux 3.9 enthält Treiber für neue Grafikchips von AMD und im Sommer erwartete WLAN-Chips von Intel. Durch Änderungen am Netzwerk-Subsystem soll der Kernel den Netzwerkverkehr nun besser auf mehrere Prozessorkerne verteilen können.

  2. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  3. So funktioniert der Heartbleed-Exploit

    Heartbleed-Diagram

    Auf erstaunlich einfache Art und Weise können Angreifer wichtige Daten wie Passwörter und geheime Schlüssel von einem Server stehlen - nur weil ein einziger Check vergessen wurde.

  1. Zulassungszwerge: Zwischen Auslaufmodell und Luxusmobil

    Die Zulassungszahlen für Neufahrzeuge machen dem Autohandel wieder mehr Freude. 291.396 Bundesbürger ließen im April ein neues Auto zu. Wie seit Jahrzehnten steht der VW Golf an erster Stelle. Am Tabellenende stehen zehn Modelle, die im April maximal drei Neue auf die Straße brachten

  2. Downsizing 1930

    Klassiker

    Der Bentley 4,5 Litre ist eine Legende. Der Rennwagen wurde von einem Motor mit Roots-Verdichter beflügelt, Turbolader waren damals noch Schiffsdieseln vorbehalten. Wenn auf Veranstaltungen wie der Mille Miglia eines von 50 gebauten Exemplaren antritt, wird der Mythos lebendig

  3. Milchschaum im Stau

    Milchschaum im Stau

    PIaggios MP3-Dreiräder sollen Vorteile von Einspur- und Zweispurfahrzeugen verbinden und sprechen vor allem Interessenten von Großrollern für die Stadt an. Wir fahren den neuen MP3 500 mit ABS und Smartphone-App

  4. Abstandsverkleinerung

    Mercedes A-Klasse Modellpflege

    Drei Jahre nach Erscheinen der A-Klasse stopft Daimler mit der Modellpflege technologische Lücken, kommt mit adaptiven Dämpfern einem Wunsch ihrer Kunden nach und lässt auch etwas mehr Leistung zu. Damit hofft man, den Abstand zu BMWs 1er und Audis A3 zu verkleinern

Anzeige