Logo von Security

Suche
2

Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Anzeige

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

  1. Sieben auf einen Streich: OpenSSL schließt Sicherheitslücken

    Die weit verbreitete und durch den Heartbleed-Bug gebeutelte Kryptobibliothek OpenSSL schließt weitere Sicherheitslücken. Mindestens eine davon ermöglicht es, den Datenstrom zu entschlüsseln.

  2. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  3. Chrome- und Firefox-Entwickler schließen gravierende Lücke

    Google Chrome

    Nahezu gleichzeitig sind neue Versionen der Browser von Mozilla und Google erschienen. Sie beheben einen Fehler, durch den es Angreifern möglich wurde, sichere Verbindungen mit anderen Websites vorzutäuschen.

  1. Kernel-Log – Was 3.9 bringt (3): Treiber & Netzwerk

    Linux 3.9 enthält Treiber für neue Grafikchips von AMD und im Sommer erwartete WLAN-Chips von Intel. Durch Änderungen am Netzwerk-Subsystem soll der Kernel den Netzwerkverkehr nun besser auf mehrere Prozessorkerne verteilen können.

  2. Kernel-Log – Was 3.10 bringt (4): Treiber

    Mit Linux 3.10 lässt sich der Videobeschleuniger von Radeon-Grafikkernen nutzen. Systeme mit Intel-Grafik können flotter aus dem Standby aufwachen. Für den Infrarot-Empfänger von Apple bringt Linux jetzt einen Eingabegerätetreiber mit.

  3. Kernel-Log – Was 3.12 bringt (1): Dateisysteme & Storage

    Btrfs beherrscht jetzt Daten-Deduplikation und Ext4 soll sparsamer mit dem Arbeitsspeicher umgehen. Neue Locking-Techniken und Multi-Threading im RAID-5-Code versprechen bessere Performance.

  1. Polarexpeditionen im Großraumkombi

    Klartext

    Die Ära der beräderten Kästen mit maximalem Nutzraum scheint vorbei. Renault hat den neuen Espace als eine Art Riesenlifestylekombi neu angelegt. Da passen keine stehenden Motorräder mehr rein

  2. Windows 10: Microsofts neues Betriebssystem ist da

    Windows 10 ist da

    Microsoft lässt das Upgrade auf Windows 10 auf die ersten Anwender los. Wer es reserviert hat, kann es installieren.

  3. Windows 10 kommt wellenweise

    Windows 10

    Microsoft-Manager Terry Myerson macht deutlich, dass der 29. Juli als Veröffentlichungstermin für Windows 10 recht weich ist: Per Upgrade kommen an diesem Tag wohl erstmal nur "Insider" an die erste offiziell fertige Build.

  4. Plotly: kostenlose Datenvisualisierung mit JavaScript

    JavaScript-Bibliothek für Visualisierung

    Die kanadische Plotly bietet die Einstiegsversion ihrer gleichnamigen JavaScript-Bibliothek zur Datenvisualisierung kostenlos an.

Anzeige