Logo von Security

Suche
Jürgen Schmidt 2

Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Anzeige

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

Anzeige
  1. Triple-Seven: OpenSSH-Schwachstelle leakt geheime Schlüssel

    Triple-Seven: Kritische OpenSSH-Schwachstelle leakt geheime Schlüssel

    Eine unfertige Option, die bei OpenSSH seit 2010 standardmäßig aktiviert ist, führt dazu, dass gekaperte Server die geheimen Schlüssel der sich verbindenden Nutzer auslesen können. Updates, welche die Lücke schließen, stehen bereit.

  2. Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton

    Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton

    Ein gefährlicher Bug in der Scan Engine von Symantec zieht weite Kreise und bedroht alle Symantec- und Norton-Produkte auf allen Plattformen, warnt ein Sicherheitsforscher.

  3. Kritische Lücken in fast allen Antiviren-Produkten von Symantec und Norton

    Kritische Lücken in fast allen Antiviren-Produkte von Symantec und Norton

    Ein Sicherheitsforscher warnt vor extrem gefährlichen Sicherheitslücken in Symantec Endpoint Protection, Norton 360 & Co. Wer derartige Produkte einsetzt, sollte umgehend reagieren.

  4. Trend-Micro-Produkte öffneten triviale Hintertür

    Binärcode

    Antiviren-Software soll das System vor bösartiger Software schützen. Immer öfter stellt sich jedoch heraus, dass sie selbst als Einfallstor dienen kann. Ein Sicherheitsexperte demonstriert das zum wiederholten Mal mit Trend Micros Security-Produkten.

  1. Die Neuerungen von Linux 4.5

    Die Neuerungen von Linux 4.5

    Einige aktuelle Radeon-Grafikkarten können mit dem neuen Linux-Kernel deutlich mehr 3D-Performance liefern. Die neue Version unterstützt den Raspberry Pi besser und schützt vor Hardware-Defekten durch unbedachte Löschbefehle. Eine ganze Latte neuer und weiterentwickelter Treiber verbessert die Hardware-Unterstützung.

  2. SSH, SSL, IPsec -- alles kaputt, kann das weg?

    So kann man sich das Knacken von IPsec-Verbindungen vorstellen: Man fragt nach den Schlüsseln -- und wenn die geliefert werden können, bekommt man Zugriff auf die Daten.

    In seiner Analyse der letzten NSA-Leaks kommt Krypto-Professor Damian Weber zu einer anderen Einschätzung als die dramatisierenden Spiegel-Artikel: Er sieht durchaus Anlass zu Hoffnung.

  3. Die Neuerungen von Linux 4.8

    Kernel-Log-Logo

    Das Anfang Oktober erwartete Linux 4.8 bringt zahlreiche neue und überarbeitete Treiber, durch die der Kernel fünfhundert weitere Geräte oder Geräteklassen unterstützt. Ferner gab es allerlei Verbesserungen, die das Ausnutzen von Sicherheitslücken erschweren.

  1. Fahrbericht: Abarth 595 Competizione

    Abarth

    Der Abarth 595 Competizione bekommt mit der Modellpflege endlich eine mechanische Differenzialsperre. Grund für eine Probefahrt mit der kräftigsten der drei Abarth-Versionen des Fiat 500

  2. Vorstellung: Mercedes E-Klasse All-Terrain

    Mercedes

    Mit der neuen E-Klasse All-Terrain ist Mercedes kein Marktbegründer, kommt aber vermutlich trotzdem genau zur richtigen Zeit. Mercedes hat dabei nicht nur unlackierten Kunststoff eingebaut, sondern auch ein Luftfahrwerk und einen permanenten Allradantrieb

  3. c't uplink 13.7: Nougat, Metal und die Jagd nach dem verlorenen Analogsignal

    c't uplink 13.7: Nougat, Metal und die Jagd nach dem verlorenen Analogsignal

    Im jüngsten c't uplink gucken wir noch einmal auf die aktuellste Android-Version und den neuen Google-Messenger Allo. Danach bewerten wir, was Apple für sein Metal verspricht und erklären, wie wir das vermisste Analogsignal des iPhone 7 gefunden haben.

  4. Smart zeigt seine neue „Electric Drive“-Kollektion

    Smart zeigt seine neue ?Electric Drive?-Kollektion

    Auf dem Pariser Autosalon (1. bis 16. Oktober 2016) zeigt Smart nun die vierte Generation seiner „Smart ED (electric drive)“-Kollektion, erstmals inkludiert sie außer Fortwo und Fortwo Cabrio nun auch den viersitzigen Smart Forfour

Anzeige