Logo von heise online

Suche
preisvergleich_weiss

Recherche in 1.515.324 Produkten

Daniel Bachfeld 36

Alert Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Anzeige

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

Themen:

Anzeige
  1. Neue Sicherheits-Updates: OpenSSL hat sich verpatcht

    Neue Sicherheits-Updates: OpenSSL hat sich verpatcht

    Admins sollten aufpassen, welche abgesicherten OpenSSL-Versionen sie einspielen: Die Patches aus der vergangenen Wochen haben zwei weitere Lücken aufgerissen. Aktualisierte Versionen stehen bereit.

  2. Microsoft-Patchday: Fünf kritische Sicherheitsfixes, vier wichtige und ein mittelschwerer

    Microsoft Patchday: Fünfmal kritisch, viermal wichtig und einmal mittelschwer

    Ab diesem Monat verteilt Microsoft Updates (fast) nur noch als kumulative Rollup-Pakete. Mit verschiedenen Patches flickt der Konzern Lücken in Windows & Co. Aktuell sollen fünf Lücken aktiv unter Beschuss stehen.

  3. Sicherheitsupdate: OpenSSL kann crashen und sich verrechnen

    Sicherheitsupdate: OpenSSL kann crashen und sich verrechnen

    Über drei Schwachstellen können Angreifer OpenSSL attackieren. Davon ist vor allem Version 1.1.0 betroffen. Eine abgesicherte Ausgabe steht zum Download bereit.

  4. Bösartige Repositories können Schadcode über Git ausführen

    Remote Code Execution in Git

    Zwei Sicherheitslücken, welche die Git-Entwickler inzwischen geschlossen haben, ermöglichen Angriffe auf ungepatchte Git-Server und -Clients. Angreifer können so Schadcode einschleusen und ausführen.

  1. Die Neuerungen von Linux 4.4

    Die Neuerungen von Linux 4.4

    Der Linux-Kernel 4.4 bringt Grafiktreiber für den Raspi und die 3D-Beschleunigung unter KVM mit. Neue Ansätze im Block-Layer versprechen High-End-SSDs mehr Leistung zu entlocken. Verbesserungen im Netzwerk-Subsystem sollen die Geschwindigkeit steigern und dadurch DDoS-Attacken erschweren.

  2. Die Neuerungen von Linux 4.9

    Linux 4.9

    Das in der ersten Dezemberhälfte erwartete Linux 4.9 bringt allerlei Verbesserungen für die Sicherheit. Durch neue Wege zur Performance-Messungen soll der Kernel jetzt Analysefunktionen bieten, die mit Dtrace vergleichbar sind; trotzdem gibt es noch einiges zu verbessern.

  3. Was Fedora 23 Neues bringt

    Fedora-Desktop

    Fedora will das BIOS-Update erleichtern und macht Fortschritte beim Umstieg auf Wayland. Neu ist auch eine Cinnamon-Distribution und Unterstützung für OpenGL 4.1.

  1. Stephen Hawking: Künstliche Intelligenz und Automation bedrohen Arbeitsplätze

    Stephen Hawking

    Der britische Physiker Stephen Hawking sieht durch das wachsende Potential von künstlicher Intelligenz und Automationstechnik Arbeitsplätze bedroht. Die flächendeckende Verfügbarkeit des Internets mache Ungleichheit zudem viel spürbarer.

  2. Vorstellung der nächsten PISA-Studie am Dienstag

    PISA-Studie

    Im Jahr 2001 rüttelte die erste OECD-Schulvergleichsstudie die Bildungspolitik auf, weil deutsche Schüler zu vergleichsweise schlechten Ergebnissen kamen. Am kommenden Dienstag, 6. Dezember, werden die aktuellen Ergebnisse vorgestellt.

  3. Reformpaket: EU-Kommission für ermäßigte Mehrwertsteuer bei E-Books

    E-Book

    Mit einer Reihe von Gesetzentwürfen will die EU-Kommission die Mehrwertsteuer für den digitalen Binnenmarkt fit machen und den grenzüberschreitenden Online-Handel beflügeln.

  4. Windows 10: Laufwerksverschlüsselung lässt sich während Versions-Upgrades umgehen

    Und noch ein Trick, weiterhin kostenlos an Windows 10 zu kommen

    Eine groteske Sicherheitslücke, die Microsoft selbst mit Konzepten zum komfortablen Administrieren eröffnet, gewährt Angreifern vollen Zugriff auf verschlüsselte Windows-Laufwerke. Einzige Voraussetzung: ausreichende Geduld.

Anzeige