Logo von Security

Suche
Jürgen Schmidt 2

Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Anzeige

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

Anzeige
  1. Triple-Seven: OpenSSH-Schwachstelle leakt geheime Schlüssel

    Triple-Seven: Kritische OpenSSH-Schwachstelle leakt geheime Schlüssel

    Eine unfertige Option, die bei OpenSSH seit 2010 standardmäßig aktiviert ist, führt dazu, dass gekaperte Server die geheimen Schlüssel der sich verbindenden Nutzer auslesen können. Updates, welche die Lücke schließen, stehen bereit.

  2. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  3. OpenSSL liefert Freak-Update

    SSL

    Mit neuen Versionen der Kryptobibliothek OpenSSL schließt das Team des Open-Source-Projektes eine ganze Reihe von Schwachstellen; darunter auch die Freak-Lücke. Admins sollten die Updates umgehend einspielen.

  4. Trend-Micro-Produkte öffneten triviale Hintertür

    Binärcode

    Antiviren-Software soll das System vor bösartiger Software schützen. Immer öfter stellt sich jedoch heraus, dass sie selbst als Einfallstor dienen kann. Ein Sicherheitsexperte demonstriert das zum wiederholten Mal mit Trend Micros Security-Produkten.

  1. Kernel-Log – Was 3.10 bringt (4): Treiber

    Mit Linux 3.10 lässt sich der Videobeschleuniger von Radeon-Grafikkernen nutzen. Systeme mit Intel-Grafik können flotter aus dem Standby aufwachen. Für den Infrarot-Empfänger von Apple bringt Linux jetzt einen Eingabegerätetreiber mit.

  2. Kernel-Log – Was 3.13 bringt (3): Infrastruktur

    Linux 3.13 entlockt Multiprozessor-Systemen mehr Leistung. Es lassen sich jetzt Kernel kompilieren, die bis zu 8192 CPU-Kerne unterstützen. Zahlreiche Verbesserungen gab es beim Zufallsdaten-Generator.

  3. Kernel-Log – Was 3.10 bringt (3): Infrastruktur

    Die Kernel-Entwickler haben den übereifrigen Samsung-UEFI-Schutz gezähmt und eine Funktion eingebaut, um den Overhead des Timer-Interrupt zu reduzieren. Verbessert wurden auch Hyper-V-Unterstützung und die Anleitung zum Melden von Fehlern.

  1. Studie LeSee: Der chinesische Angriff

    Elektroautos, alternative Antriebe

    Auf der Messe in China wurde nun die sehenswerte Studie LeSee vorgestellt. Manche sehen bei Initiator Jia Yueting schon Parallelen zu Elon Musk und Tesla, doch auch wenn er sehr viel Geld hat, ist Vorsicht bei solchen Vergleich geboten

  2. Neuer Citroën C6 wohl nur für China

    Citroen

    Citroën baut einen Nachfolger für seine gehobene Mittelklasselimousine C6. Das neue Flaggschiff der PSA-Marke wird auf der Beijing Motorshow vorgestellt und kommt im zweiten Halbjahr auf den Markt. Durch die Produktion bei Dongfeng beibt der C6 wohl eine innere Angelegenheit

  3. Qoros zeigt eine neuartige Ventilsteuerung von Free Valve

    Qoros schafft auf der Beijing Motorshow (27. April bis 4. Mai) einen kleinen Marketing-Coup und stellt einen Motor mit einem neuen Ventiltrieb vor. Mit diesem rührt Qoros an einem wiederkehrenden, höchst interessanten Traum aller Motorenkonstrukteure. Wie, versuchen wir kurz zusammenzufassen

  4. Studie: Infiniti QX Sport Inspiration

    Infiniti, Nissan

    Der aktuelle Infiniti QX50 ist hierzulande nicht gerade erfolgsverwöhnt. Eine Studie zeigt, dass man beim Nachfolger wohl dennoch am grundsätzlichen Konzept festhalten will. Vorgestellt wird sie auf der Messe in Peking

Anzeige