Logo von Security

Suche
Jürgen Schmidt 2

Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Anzeige

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

Anzeige
  1. Triple-Seven: OpenSSH-Schwachstelle leakt geheime Schlüssel

    Triple-Seven: Kritische OpenSSH-Schwachstelle leakt geheime Schlüssel

    Eine unfertige Option, die bei OpenSSH seit 2010 standardmäßig aktiviert ist, führt dazu, dass gekaperte Server die geheimen Schlüssel der sich verbindenden Nutzer auslesen können. Updates, welche die Lücke schließen, stehen bereit.

  2. Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton

    Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton

    Ein gefährlicher Bug in der Scan Engine von Symantec zieht weite Kreise und bedroht alle Symantec- und Norton-Produkte auf allen Plattformen, warnt ein Sicherheitsforscher.

  3. Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

    Schlüssel

    Verwundbare Versionen der Kryptobibliothek prüfen die Zertifikatskette nicht richtig, was es Angreifern ermöglicht, eigene Zertifikate für beliebige Domains auszustellen.

  4. Kritische Lücken in fast allen Antiviren-Produkten von Symantec und Norton

    Kritische Lücken in fast allen Antiviren-Produkte von Symantec und Norton

    Ein Sicherheitsforscher warnt vor extrem gefährlichen Sicherheitslücken in Symantec Endpoint Protection, Norton 360 & Co. Wer derartige Produkte einsetzt, sollte umgehend reagieren.

  1. Kernel-Log – Was 3.17 bringt (2): Infrastruktur

    Der Kernel bietet nun Funktionen zur effizienteren Interprozess-Kommunikation. Ein neuer Mechanismus zur Abfrage von Zufallszahlen beseitigt zwei Probleme, die zu schwacher Kryptographie führen können.

  2. SSH, SSL, IPsec -- alles kaputt, kann das weg?

    So kann man sich das Knacken von IPsec-Verbindungen vorstellen: Man fragt nach den Schlüsseln -- und wenn die geliefert werden können, bekommt man Zugriff auf die Daten.

    In seiner Analyse der letzten NSA-Leaks kommt Krypto-Professor Damian Weber zu einer anderen Einschätzung als die dramatisierenden Spiegel-Artikel: Er sieht durchaus Anlass zu Hoffnung.

  3. Die Neuerungen von Linux 4.7

    Kernel-Log-Logo

    Die neue Kernel-Version unterstützt AMDs neue Grafikchips. Ferner soll Linux 4.7 das Stromsparpotenzial moderner Prozessoren stärker ausschöpfen und Wartezeiten vermeiden, die bislang bei hoher Netzwerklast auftraten.

  1. Facebook veröffentlicht Open-Source-Bibliotheken zur Bildanalyse

    Facebook veröffentlicht Open-Source-Bibliotheken zur Bildanalyse

    Die Bibliotheken DeepMask und SharpMask helfen beim Erkennen der Umrisse von Objekten innerhalb von Bildern. MultiPath dient der Identifizierung der gefundenen Segmente.

  2. Steuerstreit um Apple in Irland: EU-Kommission weist US-Kritik zurück

    Apple-Logo

    Die Europäische Union hat die Kritik des amerikanischen Finanzministeriums an Ermittlungen wegen möglicher Steuervergünstigungen für den iPhone-Hersteller als ungerechtfertigt bezeichnet.

  3. Photon: Das Board für IoT-Maker

    Photon: Das Board für IoT-Maker

    Das Photon-Board von Particle ist das Ergebnis eines Kickstarter-Projekts, das einen leistungsfähigen Mikrocontroller mit WiFi und Cloud-Anbindung ergänzt. Diese Rezeptur bietet alle Grundelemente für IoT-Anwendungen.

  4. EOS 5D Mark IV: Canons neue Spiegelreflexkamera

    Canon EOS 5D IV

    Auf zur vierten Runde. Canons neue 5er kommt mit einem Dual-Pixel-CMOS-Sensor und bietet 30,4 Megapixel. Viele Verbesserungen finden im Detail statt. WLAN und GPS sind nun integriert.

Anzeige