Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Daniel Bachfeld 8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

Anzeige
  1. WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

    WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

    Mit dem jüngsten Update haben die Entwickler des beliebten CMS eine kritische Lücke gestopft und das Ausmaß des Problems absichtlich verharmlost, um Anwendern mehr Zeit zum Patchen zu geben. Leidtragende dieser Strategie sind Nutzer ohne Auto-Updates.

  2. Compiler-Infrastruktur: LLVM und Clang in Version 3.9 erschienen

    Compiler-Infrastruktur: LLVM und Clang in Version 3.9 erschienen

    Mit geringfügiger Verspätung sind LLVM 3.9 und Clang 3.9 über die Ziellinie gegangen. Mit Features wie ThinLTO, Support für mehr Plattformen und OpenMP-4.5-Unterstützung hat sich das Warten aber gelohnt.

  3. Big Data: 60 Millionen US-Dollar für Databricks

    Big Data: 60 Millionen US-Dollar für Databricks

    Die Entwickler von Apache Spark, dem mutmaßlich wichtigsten Big-Data-Framework zurzeit, bekommen Rückendeckung durch New Enterprise Associates und Andreessen Horowitz.

  4. Visual Studio 2017 ist verfügbar

    Visual Studio 2017 ist verfügbar

    Mit viel Tamtam hat Microsoft ein neues Release seiner Entwicklungsumgebung vorgestellt. Zusammen mit Visual Studio 2017 sind außerdem die .NET-Core-Werkzeuge erstmals in einer endgültigen Version erschienen.

  1. Eine eigene Programmiersprache mit Xtext modellieren

    Eine eigene Programmiersprache mit Xtext modellieren

    Mit Xtext, einem Sprachframework auf der JVM, ist es mit wenig Aufwand möglich, eine eigene Programmiersprache zu definieren. Dieser Artikel zeigt den Werdegang einer kleinen domänenspezifischen Sprache von der Definition der Grammatik bis hin zur lauffähigen IDE.

  2. SSL/TLS-Netzwerkprogrammierung mit Boost.Asio, Teil 1: Grundlagen

    SSL/TLS-Netzwerkprogrammierung mit Boost.Asio - Teil 1: Grundlagen

    Im Umfeld von C++ verspricht Boost.Asio, eine einfache, plattformübergreifende Möglichkeit zur Netzwerkprogrammierung zu sein. Dazu gehört auch das Absichern der Verbindungen mit SSL beziehungsweise TLS.

  3. Modulare Java-Zukunft: Das Java Platform Module System erklärt

    Modulare Java-Zukunft: Das Java Platform Module System erklärt

    Nachdem die Java-Welt Jahre lang nicht unbedingt einen Schwerpunkt auf Modularisierung legte – OSGi einmal ausgenommen –, tut sich in Java 9 mit dem JPMS einiges, was sich auf das gesamte Ökosystem auswirken wird.

  1. Divinity: Original Sin 2 kommt am 14. September

    Divinity: Original Sin 2 kommt am 14. September

    Das Rollenspiel Divinity: Original Sin 2 kommt am 14. September auf den Markt. Die schon veröffentlichte Early-Access-Version wurde derweil um eine Tutorial-Region erweitert.

  2. Debian ohne systemd: Devuan Jessie 1.0.0 Stable erschienen

    Debian ohne systemd: Devuan Jessie 1.0.0 Stable erschienen

    Mit Devuan Jessie 1.0.0 Stable ist die erste LTS-Ausgabe des Debian-Forks ohne systemd erschienen. Sie richtet sich auch an Unternehmen, die direkt von Debian 7 oder 8 umsteigen können.

  3. Devuan: Jetzt solls los gehen

    Devuan: Jetzt solls los gehen

    Die Debian-Forker der "Veteran Unix Admin" wollen jetzt mit der Arbeit an ihrer Debian-Variante ohne Systemd richtig loslegen. Die erste installierbare Version soll Ende Januar fertig sein.

  4. Auch General Motors wegen Abgasbetrugs verklagt

    Auch General Motors wegen Abgasbetrugs verklagt

    Nur wenige Tage nach Razzien bei Daimler und einer Klage der US-Regierung gegen Fiat Chrysler eröffnen US-Dieselkunden ein Verfahren gegen General Motors. Der Hersteller weist die Vorwürfe entschieden zurück

Anzeige