Logo von Security

Suche
2

Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Anzeige

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

  1. OpenBSD 5.6 kickt OpenSSL

    OpenBSD 5.6 kickt OpenSSL

    Mit der neuen Version des freien Unix steigen die OpenBSD-Macher von OpenSSL auf LibreSSL um. Dazu kommen zahlreiche kleinere Verbesserungen.

  2. VMware patcht ein paar Produkte nach OpenSSL-Update

    VMware patcht ein paar Produkte nach OpenSSL-Update

    Für sieben Programme stehen inzwischen Patches bereit, die das eingesetzte OpenSSL auf den aktuellen, sicheren Stand bringen. Für sehr viele weitere stehen die Sicherheits-Updates allerdings noch aus.

  3. Linux Foundation finanziert OpenSSL-Entwickler

    Linux Foundation finanziert OpenSSL-Entwickler

    Die Core Infrastructure Initiative der Linux Foundation bezahlt zwei Entwicklerstellen für das OpenSSL-Projekt. Auch einige weitere Open-Source-Projekte erhalten Geld.

  4. OpenBSD-Entwickler bezweifeln angebliche OpenSSH-Schwachstelle

    OpenSSH-Exploit

    Der Exploit soll so schlimm wie der SSL-GAU Heartbleed sein und die wichtige Unix-Bibliothek OpenSSH betreffen. Allerdings sagen viele Entwickler, dass die Lücke wahrscheinlich nicht existiert.

Anzeige