Logo von Security

Suche
Jürgen Schmidt 2

Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Anzeige

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

  1. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  2. Chrome- und Firefox-Entwickler schließen gravierende Lücke

    Google Chrome

    Nahezu gleichzeitig sind neue Versionen der Browser von Mozilla und Google erschienen. Sie beheben einen Fehler, durch den es Angreifern möglich wurde, sichere Verbindungen mit anderen Websites vorzutäuschen.

  3. LSE entdeckt kritische Schwachstelle in Perl

    Mit der vom Identity-Management-Experten festgestellten Lücke in der Spracherweiterung Data::Dumper soll sich durch Anlegen großer Datenstrukturen ein Stack Overflow erzeugen lassen.

  1. Kernel-Log – Was 3.9 bringt (3): Treiber & Netzwerk

    Linux 3.9 enthält Treiber für neue Grafikchips von AMD und im Sommer erwartete WLAN-Chips von Intel. Durch Änderungen am Netzwerk-Subsystem soll der Kernel den Netzwerkverkehr nun besser auf mehrere Prozessorkerne verteilen können.

  2. Kernel-Log – Was 3.10 bringt (4): Treiber

    Mit Linux 3.10 lässt sich der Videobeschleuniger von Radeon-Grafikkernen nutzen. Systeme mit Intel-Grafik können flotter aus dem Standby aufwachen. Für den Infrarot-Empfänger von Apple bringt Linux jetzt einen Eingabegerätetreiber mit.

  3. Kernel-Log – Was 3.12 bringt (1): Dateisysteme & Storage

    Btrfs beherrscht jetzt Daten-Deduplikation und Ext4 soll sparsamer mit dem Arbeitsspeicher umgehen. Neue Locking-Techniken und Multi-Threading im RAID-5-Code versprechen bessere Performance.

  1. IFA 2015: Neue Smartwach-Modelle Motorola Moto 360 im Hands-On

    IFA 2015: Drei neue Moto 360 von Lenovo, erstes Hands-On

    Lenovo zeigt auf der IFA gleich drei neue Varianten der Android-Smartwatch Motorola Moto 360. Die ist wie gehabt rund, nun aber mit neuem Prozessor in zwei Größen und als Sportversion erhältlich.

  2. Verschlüsselung "wie bei ISIS": Vice-Journalisten in der Türkei verhaftet

    Laptop-Verschlüsselung "wie bei ISIS": Vice-Journalisten in der Türkei verhaftet

    Weil ihr lokaler Kontaktmann Daten auf seinem Laptop verschlüsselt hatte, sind Vice-Journalisten in der Türkei als Terrorverdächtige festgenommen worden. Ihnen soll der Prozess gemacht werden.

  3. IFA 2015: Sonys Smartphone-Serie Xperia Z5 im Hands-on

    IFA 2015: Sonys Smartphone-Serie Xperia Z5 im Hands-on

    Sony hat drei neue Flaggschiff-Modelle: Das Z5, das Z5 Compact und das Z5 Premium mit 4K-Aulösung. Wir haben auf der IFA alle drei ausprobiert.

  4. IFA 2015: Huawei Watch ab September für 400 bis 800 Euro

    IFA 2015: Huawei Watch ab September für 400 bis 800 Euro

    Anfang des Jahres hatte Huawei seine Smartwatch mit Android Wear gezeigt und einen Marktstart im Sommer versprochen. Naja, jetzt wird es September, und die Preise liegen eher hoch.

Anzeige