Logo von Security

Suche
Jürgen Schmidt 2

Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

Anzeige
  1. Triple-Seven: OpenSSH-Schwachstelle leakt geheime Schlüssel

    Triple-Seven: Kritische OpenSSH-Schwachstelle leakt geheime Schlüssel

    Eine unfertige Option, die bei OpenSSH seit 2010 standardmäßig aktiviert ist, führt dazu, dass gekaperte Server die geheimen Schlüssel der sich verbindenden Nutzer auslesen können. Updates, welche die Lücke schließen, stehen bereit.

  2. Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton

    Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton

    Ein gefährlicher Bug in der Scan Engine von Symantec zieht weite Kreise und bedroht alle Symantec- und Norton-Produkte auf allen Plattformen, warnt ein Sicherheitsforscher.

  3. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  4. Trend-Micro-Produkte öffneten triviale Hintertür

    Binärcode

    Antiviren-Software soll das System vor bösartiger Software schützen. Immer öfter stellt sich jedoch heraus, dass sie selbst als Einfallstor dienen kann. Ein Sicherheitsexperte demonstriert das zum wiederholten Mal mit Trend Micros Security-Produkten.

  1. Kernel-Log – Was 3.17 bringt (2): Infrastruktur

    Der Kernel bietet nun Funktionen zur effizienteren Interprozess-Kommunikation. Ein neuer Mechanismus zur Abfrage von Zufallszahlen beseitigt zwei Probleme, die zu schwacher Kryptographie führen können.

  2. SSH, SSL, IPsec -- alles kaputt, kann das weg?

    So kann man sich das Knacken von IPsec-Verbindungen vorstellen: Man fragt nach den Schlüsseln -- und wenn die geliefert werden können, bekommt man Zugriff auf die Daten.

    In seiner Analyse der letzten NSA-Leaks kommt Krypto-Professor Damian Weber zu einer anderen Einschätzung als die dramatisierenden Spiegel-Artikel: Er sieht durchaus Anlass zu Hoffnung.

  3. Java 9: Jetzt sind es schon acht

    Noch gut zwei Jahre wird es dauern, bis Java 9 für alle verfügbar sein wird. Dennoch wird bereits mit Hochdruck daran gearbeitet. In den vergangenen Tagen häufen sich die Meldungen zu Java 9 und den neuen Funktionen deutlich.

  1. Maserati 3500GT: Buddenbrooks con dolce vita

    Klassiker, Maserati

    Die italienische Marke Maserati hatte schon einige Besitzer. Doch ihre Existenz verdankt sie einer Handvoll verrückter Italienern ohne jede Ahnung von Betriebswirtschaft und dem Maserati 3500GT. Eine Danksagung

  2. Oracle vs. Google - Wann fällt eine API-Nutzung unter Fair Use?

    Oracle vs. Google - Wann fällt eine API-Nutzung unter Fair Use?

    Eine weitere Entscheidung im Fall Google gegen Oracle ist gefallen und eine Berufung bereits angekündigt. Gelegenheit, einen Blick auf die Fair-Use-Regelung zu werfen.

  3. Von unendlichen Geschichten an endlichen Freitagen

    Von unendlichen Geschichten an endlichen Freitagen

    Mehr als 300 Meldungen schrieb der heise-Autor zu dem Streit, den die Firma SCO um ihre vermeintlichen Rechte an Linux anzettelte. Im Verlauf der unendlichen Geschichte entstand ein ansehnliches Stück Forenkultur auf heise online.

  4. Netzwerkkarte für NBase-T von Delock

    Schnelleres Internet mit neuer Netzwerkkarte

    Höhere Bandbreite ist auch auf herkömmlichen Kupferkabeln (CAT5e) machbar – ermöglicht wird es durch die neuen Zwischenstufen von 2,5 GBit/s und 5 GBit/s. Delock liefert eine der ersten Netzwerkkarten, die diese Geschwindigkeiten unterstützen.

Anzeige