Logo von Security

Suche
Jürgen Schmidt 2

Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Anzeige

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

  1. Triple-Seven: OpenSSH-Schwachstelle leakt geheime Schlüssel

    Triple-Seven: Kritische OpenSSH-Schwachstelle leakt geheime Schlüssel

    Eine unfertige Option, die bei OpenSSH seit 2010 standardmäßig aktiviert ist, führt dazu, dass gekaperte Server die geheimen Schlüssel der sich verbindenden Nutzer auslesen können. Updates, welche die Lücke schließen, stehen bereit.

  2. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  3. OpenSSL liefert Freak-Update

    SSL

    Mit neuen Versionen der Kryptobibliothek OpenSSL schließt das Team des Open-Source-Projektes eine ganze Reihe von Schwachstellen; darunter auch die Freak-Lücke. Admins sollten die Updates umgehend einspielen.

  4. Serverseitiges JavaScript: Node.js-Patch verzögert sich

    Node.js-Patch verzögert sich voraussichtlich um zwei Tage

    Grund der Verzögerung des Security-Updates für das serverseitige JavaScript ist die Verschiebung des OpenSSL-Updates. Die Aktualisierung soll nun zwei Tage später erfolgen als ursprünglich geplant.

  1. Kernel-Log – Was 3.9 bringt (3): Treiber & Netzwerk

    Linux 3.9 enthält Treiber für neue Grafikchips von AMD und im Sommer erwartete WLAN-Chips von Intel. Durch Änderungen am Netzwerk-Subsystem soll der Kernel den Netzwerkverkehr nun besser auf mehrere Prozessorkerne verteilen können.

  2. Kernel-Log – Was 3.10 bringt (4): Treiber

    Mit Linux 3.10 lässt sich der Videobeschleuniger von Radeon-Grafikkernen nutzen. Systeme mit Intel-Grafik können flotter aus dem Standby aufwachen. Für den Infrarot-Empfänger von Apple bringt Linux jetzt einen Eingabegerätetreiber mit.

  3. Kernel-Log – Was 3.13 bringt (3): Infrastruktur

    Linux 3.13 entlockt Multiprozessor-Systemen mehr Leistung. Es lassen sich jetzt Kernel kompilieren, die bis zu 8192 CPU-Kerne unterstützen. Zahlreiche Verbesserungen gab es beim Zufallsdaten-Generator.

  1. c't uplink 10.3: Kreditkartenbetrug, Kinderporno-Verdacht, Remix OS

    c't uplink 10.3: Kreditkartenbetrug, Kinderporno-Verdacht, Remix OS

    Diese Woche sprechen wir im Podcast aus Nerdistan über den Kreditkartenbetrug, der auch bei Cip+Pin funktioniert. Außerdem diskutieren wir einen falschen Verdacht von Kinderpornographie und das Android-System Remix OS für den PC.

  2. Neue Autos 2016: Spaßautos, Softtops, SUVs und Saubermänner

    Renault Talisman

    Wir freuen uns auf Supersportwagen wie den Ford GT, krawallige Kompaktsportler wie den Ford Focus RS und die klassenübergreifende Rennaissance des Stoffverdecks. Neue SUVs und wohltuend vernünftige Alltagsmodelle kommen 2016 auch dazu

  3. 50 Jahre Mazda-Mittelklasse: Import-Mittel

    Mit enormer Zuverlässigkeit und einem fairen Preis-Leistungs-Verhältnis erarbeitete sich die Mittelklasse von Mazda einen guten Ruf. Seit 1963 ist der Hersteller in dieser Klasse präsent - Zeit für einen ausführlichen Rückblick

  4. Elektroautos: Zahl der Neuzulassungen in Europa verdoppelte sich 2015

    Elektroautos: Zahl der Neuzulassungen in Europa verdoppelte sich 2015

    In den Niederlanden wurden vergangenes Jahr die meisten Elektroautos in Europa neu zugelassen. Das wesentlich bevölkerungsreichere Deutschland liegt mit Abstand dahinter.

Anzeige