Logo von Security

Suche
2

Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Anzeige

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

  1. SSL-Gau: So testen Sie Programme und Online-Dienste

    Am Dienstagnachmittag war selbst die Site des OpenSSL-Projekts noch verwundbar.

    Die Veröffentlichung der folgenschweren Heartbleed-Lücke hat viele Dienste eiskalt erwischt – darunter Adobe, LastPass, Web.de und sogar VeriSign. Anwender können online überprüfen, ob die von ihnen genutzten Dienste bereits geschützt sind.

  2. Sieben auf einen Streich: OpenSSL schließt Sicherheitslücken

    Die weit verbreitete und durch den Heartbleed-Bug gebeutelte Kryptobibliothek OpenSSL schließt weitere Sicherheitslücken. Mindestens eine davon ermöglicht es, den Datenstrom zu entschlüsseln.

  3. OpenBSD-Entwickler bezweifeln angebliche OpenSSH-Schwachstelle

    OpenSSH-Exploit

    Der Exploit soll so schlimm wie der SSL-GAU Heartbleed sein und die wichtige Unix-Bibliothek OpenSSH betreffen. Allerdings sagen viele Entwickler, dass die Lücke wahrscheinlich nicht existiert.

  1. Kernel-Log – Was 3.10 bringt (4): Treiber

    Mit Linux 3.10 lässt sich der Videobeschleuniger von Radeon-Grafikkernen nutzen. Systeme mit Intel-Grafik können flotter aus dem Standby aufwachen. Für den Infrarot-Empfänger von Apple bringt Linux jetzt einen Eingabegerätetreiber mit.

  2. Kernel-Log – Was 3.9 bringt (3): Treiber & Netzwerk

    Linux 3.9 enthält Treiber für neue Grafikchips von AMD und im Sommer erwartete WLAN-Chips von Intel. Durch Änderungen am Netzwerk-Subsystem soll der Kernel den Netzwerkverkehr nun besser auf mehrere Prozessorkerne verteilen können.

  3. SSL-Lücke in iOS und OS X: "Ein Sicherheitsdesaster"

    Der Sicherheitsforscher Stefan Esser spricht im Interview mit Mac & i über die am Freitag bekanntgewordene Verschlüsselungslücke in iOS und OS X und ihre Hintergründe.

  1. c't uplink 6.2: GTA V, gefälschte Smartphone-Akkus, Vorratsdatenspeicherung

    c't uplink 6.2: GTA V, gefälschte Smartphone-Akkus, Vorratsdatenspeicherung

    Diesmal geht es im Podcast aus der c't-Redaktion um GTA V auf dem PC, gefälschte Samsung-Akkus bei Amazon und das leidige Thema der Vorratsdatenspeicherung.

  2. Die unsichtbare Gefahr

    Einsatzkräfte im AKW Fukushima I

    Mikrosievert, Millisievert, Sievert - wie schlimm ist die Strahlendosis, der die Arbeiter in und um Fukushima bisher ausgesetzt waren? Welche Gefahr besteht für die Bevölkerung im umliegenden Gebiet? Welchen Schutz und welche Behandlungsmöglichkeiten gibt es? Technology Review ordnet die Problematik ein.

  3. Gitarre spielen mit Arduino und Raspberry Pi

    Gitarre spielen mit Arduino und Raspberry Pi

    Ein Roboter, der Gitarre spielt – der Australier Ben Reardon hat ihn sich gebaut und damit einen alten Traum erfüllt. Doch sein Roboter kann noch mehr.

  4. Hannover Messe: Spritzgussformen aus dem 3D-Drucker

    Hannover Messe: Spritzgussformen aus dem 3D-Drucker

    3D-Drucker ist nicht gleich 3D-Drucker. So werden auf der Hannover Messe unterschiedliche Modelle und Techniken präsentiert, mit denen beispielsweise Spritzgusswerkzeugformen gedruckt werden können.

Anzeige