Logo von heise online

Suche
Daniel Bachfeld 36

Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Anzeige

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

Anzeige
  1. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  2. Sicherheitsfirma warnt vor iOS-Killer-Funktion

    iPhone 6

    Ein bösartiger Hotspot könnte iOS-Geräte in einen endlosen Reboot-Cycle schicken, warnt eine Sicherheitsfirma. Ursache ist anscheinend ein Fehler in Apples Verschlüsselungsimplementierung.

  3. Zeitlos: Neue Angriffe auf NTP verwirren das Klientel von Zeitservern

    Neue NTP-Version erschwert Amgriffe auf Zeitserver

    Mit einem Update des Zeitsynchronisations-Dienstes NTP reagieren die Entwickler auf eine Reihe von neuen Angriffen. Damit lässt sich die Kommunikation zwischen Servern und Clients so manipulieren, dass die Clients falsche oder gar keine Zeiten bekommen.

  4. Sicherheitslücken im Android-Multimedia-System eskalieren

    Google-Android

    Die Schwachstellen im Multimedia-System sind gefährlicher als zuerst vermutet: Mit manipulierten MP4-Videos könnten Angreifer Kontrolle übers Smartphone erlangen.

  1. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  2. Kernel-Log – Was 3.13 bringt (2): Netzwerk

    Der Kernel 3.13 enthält die neue Firewall-Infrastruktur Nftables, die mittelfristig Iptables und Co. ersetzen soll. TCP Fast Open (TFO), das den HTTP-Verbindungsaufbau beschleunigt, ist jetzt Standard.

  3. So funktioniert der Heartbleed-Exploit

    Heartbleed-Diagram

    Auf erstaunlich einfache Art und Weise können Angreifer wichtige Daten wie Passwörter und geheime Schlüssel von einem Server stehlen - nur weil ein einziger Check vergessen wurde.

  1. Klartext: Italien

    Klartext

    Alles ist besser in Italien. Zufällig verschlug es mich einmal wieder dorthin, und im unbezahlten, potenziell unbezahlbaren Maserati sitzend sinnierte ich darüber, warum das so ist. Wahrscheinlich Liebe

  2. Tomb Raider für Linux veröffentlicht

    Tomb Raider für Linux

    Mit "Tomb Raider" ist nun ein weiterer großer Titel auch für Linux verfügbar. Der Port von Feral Interactive unterstützt erstmals auch offiziell AMD-Grafikkarten und das sogar mit dem in Mesa enthaltenen Radeonsi-Treiber.

  3. Smarte Ohrhörer "The Dash": Zwischen Händler-Euphorie und Käufer-Frust

    Smarte Ohrhörer "The Dash": Zwischen Händler-Euphorie und Käufer-Frust

    Gerade verkündete Vodafone stolz, "als Erster das erste Hearable der Welt" auf den Markt zu bringen. Doch dem gegenüber stehen frustrierte Käufer der Bluetooth-Ohrhörer, die zugleich MP3-Player, Headsets und Fitnesstracker sind.

  4. Atomkraft: Belgien will Jod-Tabletten im ganzen Land verteilen

    Atomkraft: Belgien will Jod-Tabletten im ganzen Land verteilen

    Deutschland und Belgien liegen sich seit langem wegen Pannen bei Atommeilern in den Haaren. Auch deshalb stößt es auf Interesse, dass die belgische Regierung das Land künftig besser für die Folgen eines möglichen Reaktorunfalls wappnen will.

Anzeige