Logo von Security

Suche
2

Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Anzeige

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

  1. SSL-Gau: So testen Sie Programme und Online-Dienste

    Am Dienstagnachmittag war selbst die Site des OpenSSL-Projekts noch verwundbar.

    Die Veröffentlichung der folgenschweren Heartbleed-Lücke hat viele Dienste eiskalt erwischt – darunter Adobe, LastPass, Web.de und sogar VeriSign. Anwender können online überprüfen, ob die von ihnen genutzten Dienste bereits geschützt sind.

  2. Sieben auf einen Streich: OpenSSL schließt Sicherheitslücken

    Die weit verbreitete und durch den Heartbleed-Bug gebeutelte Kryptobibliothek OpenSSL schließt weitere Sicherheitslücken. Mindestens eine davon ermöglicht es, den Datenstrom zu entschlüsseln.

  3. OpenBSD-Entwickler bezweifeln angebliche OpenSSH-Schwachstelle

    OpenSSH-Exploit

    Der Exploit soll so schlimm wie der SSL-GAU Heartbleed sein und die wichtige Unix-Bibliothek OpenSSH betreffen. Allerdings sagen viele Entwickler, dass die Lücke wahrscheinlich nicht existiert.

  1. Kernel-Log – Was 3.9 bringt (3): Treiber & Netzwerk

    Linux 3.9 enthält Treiber für neue Grafikchips von AMD und im Sommer erwartete WLAN-Chips von Intel. Durch Änderungen am Netzwerk-Subsystem soll der Kernel den Netzwerkverkehr nun besser auf mehrere Prozessorkerne verteilen können.

  2. Kernel-Log – Was 3.10 bringt (4): Treiber

    Mit Linux 3.10 lässt sich der Videobeschleuniger von Radeon-Grafikkernen nutzen. Systeme mit Intel-Grafik können flotter aus dem Standby aufwachen. Für den Infrarot-Empfänger von Apple bringt Linux jetzt einen Eingabegerätetreiber mit.

  3. Kernel-Log – Was 3.12 bringt (1): Dateisysteme & Storage

    Btrfs beherrscht jetzt Daten-Deduplikation und Ext4 soll sparsamer mit dem Arbeitsspeicher umgehen. Neue Locking-Techniken und Multi-Threading im RAID-5-Code versprechen bessere Performance.

  1. Direktlenkung, mal echt

    Fahrbericht: Alfa Romeo 4C Spider

    Scharfes Design, kompromisslose Lenkung, Leichtbau und der daraus resultierende Fahrspaß machen es schwer, sich nicht in diesen Alfa zu verlieben. Und jetzt gibt es ihn auch noch offen. Er wiegt nur acht Kilogramm mehr und bietet ein echtes Roll-Targadach

  2. BND/NSA-Skandal: Offenbar noch mehr kritische Selektoren entdeckt

    BND/NSA-Skandal: Offenbar noch mehr kritische Selektoren entdeckt

    Kein Ende der Selektoren: In der BND-Zentrale in Pullach wurden einem Zeitungsbericht zufolge mehr als 400.000 neue Suchbegriffe der NSA entdeckt, die sich wohl gegen deutsche Interessen richten. Der BND habe nur einige Hundert aussortiert.

  3. Patriot Act verhilft FBI zu keinem einzigen Durchbruch

    Auszug aus dem Bericht des OIG

    Die enorme Datensammlung nach dem Patriot Act nimmt zu, bringt aber keine nennenswerten Durchbrüche bei FBI-Ermittlungen. Das geht aus dem Bericht eines internen Aufsichtsorgans hervor.

  4. Luxus Nutzwert

    Die 4x4-Kombis E 500 T-Modell und GL 500

    Hört man „Fünfhunderter Mercedes“ und sieht eine S-Klasse oder ein Coupé vor seinem geistigen Auge, hat man damit nicht die ganze Wahrheit erfasst: Heute gibt es eine ungleich höhere Auswahl an 500ern. Wir haben mit E 500 4Matic T-Modell und GL 500 4Matic zwei feiste Allradkombis unter die Lupe genommen

Anzeige