Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.527.223 Produkten

Daniel Bachfeld 8

OpenSSL-Updates beseitigen Schwachstellen

Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben. So lässt sich ein Fehler im ASN.1-Parser ausnutzen, um mit präparierten Strukturen einer "Cryptographic Message Syntax"-Nachricht (CMS) in nicht erlaubte Speicherbereiche zu schreiben. Möglicherweise lässt sich der Fehler ausnutzen, um Code in ein System zu schleusen und ein System zu kompromittieren. In dem OpenSSL-Zweig 0.9.8 ist CMS standardmäßig nicht aktiviert, im Zweig 1.0.0 ist es jedoch aktiviert.

Ein nicht initialisierter Puffer in der Funktion EVP_PKEY_verify_recover() der Version 1.0.0 lässt sich zudem missbrauchen, um einen ungültigen RSA-Schlüssel als gültig erscheinen zu lassen. Da bislang kaum eine Anwendung diese erst kürzlich eingeführte Funktion nutzt, ist die Tragweite des Problems gering. Nach Angaben der Entwickler greift bislang nur das OpenSSL-Tool pkeyutl darauf zurück.

Siehe dazu auch:

(dab)

8 Kommentare

Themen:

Anzeige
  1. WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

    WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

    Mit dem jüngsten Update haben die Entwickler des beliebten CMS eine kritische Lücke gestopft und das Ausmaß des Problems absichtlich verharmlost, um Anwendern mehr Zeit zum Patchen zu geben. Leidtragende dieser Strategie sind Nutzer ohne Auto-Updates.

  2. Badlock: Patches schließen Lücken in Windows und Samba-Servern

    Badlock: Patches schließen Lücken in Windows und Samba-Servern

    Mit dem aktuellen Patch-Day hat Microsoft im Windows-Server eine Lücke geschlossen, die auch in Samba klafft und die von den Entwicklern der freien Server-Alternative entdeckt worden ist. Sie betrifft nicht das SMB-Protokoll, sondern RPC-Dienste.

  3. Windows-Update für Secure-Boot-Fehler macht BIOS-Updates erforderlich

    UEFI Secure Boot im BIOS-Setup

    Mit dem Patch 3193479 beziehungsweise 3200970 für aktuelle Windows-(Server-)Versionen korrigiert Microsoft einen Bug in UEFI Secure Boot, doch einige Server starten danach nicht mehr.

  4. iOS-Datumsfehler schickt Mails aus den Siebzigern

    iOS-Datumsfehler schickt Mails aus den Siebzigern

    Nutzer klagen über Probleme mit der E-Mail-Anwendung auf iPhone und iPad. Die zeigt unter Umständen uralte Phantommails an.

  1. SSL/TLS-Netzwerkprogrammierung mit Boost.Asio, Teil 1: Grundlagen

    SSL/TLS-Netzwerkprogrammierung mit Boost.Asio - Teil 1: Grundlagen

    Im Umfeld von C++ verspricht Boost.Asio, eine einfache, plattformübergreifende Möglichkeit zur Netzwerkprogrammierung zu sein. Dazu gehört auch das Absichern der Verbindungen mit SSL beziehungsweise TLS.

  2. c't zockt (Episode 75): LoD Masters, Terminull, Who must Die, RumbleTV

    c't zockt (Episode 75): LoD Masters, Terminull, Who must Die, RumbleTV

    Juibiläum! In der 75. Ausgabe unserer Freeware- und Indiespiele-Tipps werden Bugs zu Features, ballert man im Comic-Look und steckt als Arzt in einem Dilemma.

  3. Eine eigene Programmiersprache mit Xtext modellieren

    Eine eigene Programmiersprache mit Xtext modellieren

    Mit Xtext, einem Sprachframework auf der JVM, ist es mit wenig Aufwand möglich, eine eigene Programmiersprache zu definieren. Dieser Artikel zeigt den Werdegang einer kleinen domänenspezifischen Sprache von der Definition der Grammatik bis hin zur lauffähigen IDE.

  1. Klartext: Zweckehen im australischen Busch

    Klartext

    Beziehungen funktionieren manchmal nicht von Anfang an, sondern weil man daran arbeitet, mit sich Arrangieren und gemeinsamen Erlebnissen. Das funktioniert manchmal sogar bei Beziehungen aus Hass. Wie beim Renault Koleos

  2. Falsche Frequenz: Rauchmelder wecken Kinder nicht

    Dundee University: Rauchmelder wecken Kinder nicht

    27 von 34 Kindern sind in einem Test der Dundee University nicht aufgewacht, als der Rauchmelder vor einem Brand warnte. Jetzt möchte die Universität eine neue Entwicklung testen.

  3. Todesstoß: Forscher zerschmettern SHA-1

    Forscher zerschmettern SHA-1

    Totgesagte sterben manchmal auch schneller. In einer Kooperation zwischen der CWI Amsterdam und Google gelang es, dem bereits angeschlagenen Hash-Verfahren SHA-1 mit einer echten Kollision den praktischen Todesstoß zu versetzen.

  4. Erster HFR-Film auf Ultra HD Blu-ray: Ang Lees irre Videotour

    Erster HFR-Film auf Ultra HD Blu-ray: Ang Lees irre Videotour

    In den USA hat Sony Pictures den ersten Spielfilm mit erhöhter Bildwiederholrate (High Frame Rate, HFR) auf UHD Blu-ray veröffentlicht. Wir haben uns "Billy Lynn’s Long Halftime Walk" angeschaut.

Anzeige