Logo von heise online

Suche
Daniel Bachfeld 36

Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Anzeige

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

Themen:

Anzeige
  1. Bösartige Repositories können Schadcode über Git ausführen

    Remote Code Execution in Git

    Zwei Sicherheitslücken, welche die Git-Entwickler inzwischen geschlossen haben, ermöglichen Angriffe auf ungepatchte Git-Server und -Clients. Angreifer können so Schadcode einschleusen und ausführen.

  2. glibc: Dramatische Sicherheitslücke in Linux-Netzwerkfunktionen

    Cyberangriffe

    Sicherheitsforscher entdeckten eine Sicherheitslücke in der zentralen Bibliothek glibc, die sich übers Netz ausnutzen lässt. Mittels speziell präparierter DNS-Pakete kann ein Angreifer Linux-Systeme kapern. Aktualisierte glibc-Versionen sind unterwegs.

  3. AVM-Router: Fritzbox-Lücke erlaubt Telefonate auf fremde Kosten

    Fritzbox-Lücke

    Durch eine kritische Lücke in den Fritzboxen können Angreifer etwa Telefonate auf fremde Rechnung führen und Code als Root ausführen. Die Lücke hat AVM bereits geschlossen, die Details wurden jedoch bis heute unter Verschluss gehalten.

  4. Geleakte NSA-Exploits: Cisco patcht Zero-Day-Lücke

    Netzwerkkabel

    Firewalls von Cisco sind verwundbar und Angreifer können unter Umständen eigenen Code ausführen und Systeme übernehmen. Sicherheits-Patches sind verfügbar.

  1. Die Neuerungen von Linux 4.4

    Die Neuerungen von Linux 4.4

    Der Linux-Kernel 4.4 bringt Grafiktreiber für den Raspi und die 3D-Beschleunigung unter KVM mit. Neue Ansätze im Block-Layer versprechen High-End-SSDs mehr Leistung zu entlocken. Verbesserungen im Netzwerk-Subsystem sollen die Geschwindigkeit steigern und dadurch DDoS-Attacken erschweren.

  2. Was Fedora 23 Neues bringt

    Fedora-Desktop

    Fedora will das BIOS-Update erleichtern und macht Fortschritte beim Umstieg auf Wayland. Neu ist auch eine Cinnamon-Distribution und Unterstützung für OpenGL 4.1.

  3. RESTful mit CoAP

    Aufruf des Arduino-basierten CoAP-Servers mit Copper-Plugin auf Firefox

    Die letzte Folge hat nachrichtenbasierte Kommunikation über das IoT-Protokoll MQTT adressiert. Als Alternative bietet sich CoAP als REST des kleinen Geräts an.

  1. Vergleich Triumph Speed Triple R vs. Yamaha MT-10

    Triumph, Yamaha

    Man sollte erwarten, dass die neue Yamaha MT-10 Triumphs in die Jahre gekommene Speed Triple schlachtet in jedem Vergleich. Aber in der unglaublich guten R-Version der Speedy ist es umgekehrt, wie eine Ausfahrt zeigte

  2. Englische Verbraucherorganisation verlangt Schadenersatz für Probleme beim Windows-10-Upgrade

    Englische Verbraucherorganisation verlangt Schadenersatz für Probleme beim Windows-10-Upgrade

    Der englischen Verbraucherorganisation "Which?" liegen über 1000 Beschwerden von Windows-Nutzern vor, bei denen das Upgrade auf Windows 10 Probleme verursachte.

  3. Schweizer erlauben Geheimdienst umfangreiches Überwachungsarsenal

    Schwarzes Telefon

    Künftig dürfen in der Schweiz neue umfangreiche geheimdienstliche Überwachungs-Maßnahmen gegen Verdächtige eingesetzt werden. So entschied überaus deutlich der Schweizer Souverän, das Stimmvolk.

  4. Sex in der Virtual Reality: "20% Sex und 80% Therapie"

    VR-Cam-Sex-Performerin Ela Darling: "20% Sex und 80% Therapie"

    Die VR-Unternehmerin und Pornodarstellerin Ela Darling sieht in Virtual-Reality-Cam-Sex eine der wenigen verbliebenen Möglichkeiten, mit Pornografie Geld zu verdienen. Auf der VR-Konferenz Digility sprach sie über Intimität und US-Moralverständnis.

Anzeige