Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Daniel Bachfeld 36

Alert Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

Themen:

Anzeige
  1. Neue Sicherheits-Updates: OpenSSL hat sich verpatcht

    Neue Sicherheits-Updates: OpenSSL hat sich verpatcht

    Admins sollten aufpassen, welche abgesicherten OpenSSL-Versionen sie einspielen: Die Patches aus der vergangenen Wochen haben zwei weitere Lücken aufgerissen. Aktualisierte Versionen stehen bereit.

  2. OpenSSL bekommt "moderate" Sicherheitsupdates

    OpenSSL bekommt "moderate" Sicherheitsupdates

    Die Entwickler schließen insgesamt vier Lücken in der Krypto-Bibliothek. Das von den Schwachstellen ausgehende Risiko gilt als moderat bis niedrig.

  3. Sicherheitsupdate: Angriff auf Lücke in OpenSSL kann Client und Server abstürzen lassen

    Sicherheitsupdate: Angriff auf Lücke in OpenSSL kann Client und Server abstürzen lassen

    Unter bestimmten Voraussetzungen können Angreifer Geräte, die OpenSSL 1.1.0 einsetzen, mit einer DoS-Attacke malträtieren.

  4. Microsoft-Patchday: Fünf kritische Sicherheitsfixes, vier wichtige und ein mittelschwerer

    Microsoft Patchday: Fünfmal kritisch, viermal wichtig und einmal mittelschwer

    Ab diesem Monat verteilt Microsoft Updates (fast) nur noch als kumulative Rollup-Pakete. Mit verschiedenen Patches flickt der Konzern Lücken in Windows & Co. Aktuell sollen fünf Lücken aktiv unter Beschuss stehen.

  5. Alle Meldungen aus Weitere News zum Thema
  1. Was Fedora 23 Neues bringt

    Fedora-Desktop

    Fedora will das BIOS-Update erleichtern und macht Fortschritte beim Umstieg auf Wayland. Neu ist auch eine Cinnamon-Distribution und Unterstützung für OpenGL 4.1.

  2. Die Neuerungen von Linux 4.11

    Linux-Kernel 4.11

    Das in der zweiten Aprilhälfte erwartete Linux 4.11 kann die Akkulaufzeit steigern. Die nächste Kernel-Version bringt zudem eine Technik, um die 3D-Beschleunigung von Radeon-GPUs in VMs nutzen zu können. Auch die Unterstützung für den Raspberry Pi wird besser.

  3. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  4. Alle Meldungen aus Ähnliche Artikel
  1. Geleakte NSA-Hackersoftware: Offenbar hunderttausende Windows-Computer infiziert

    Geleakte NSA-Hackersoftware: Bereits Hunderttausende Geräte infiziert

    Weniger als zwei Wochen nachdem anonyme Hacker Software der NSA veröffentlicht haben, sollen fast 200.000 Geräte infiziert sein. Betroffen sind Windows-Computer, die einen bereits veröffentlichten Patch nicht erhalten haben.

  2. Uber: iPhone-Fingerprinting flog auf – Rüffel vom Apple-Chef

    Delete Uber

    Die App des Fahrdienstes hat auf eine Fingerprinting-Technik gesetzt, um einzelne iPhones trotz Löschens der App weiter identifizieren zu können. Ein Geofence sollte sicherstellen, dass Apple-Mitarbeiter das regelwidrige Verhalten nicht entdecken.

  3. Personalausweis: Experten kritisieren geplanten automatisierten Lichtbildabruf scharf

    Personalausweis: Experten kritisieren geplanten automatisierten Lichtbildabruf scharf

    Faktisch werde mit einer Gesetzesreform eine nationale Biometriedatenbank entstehen, warnten Sachverständige in einer Anhörung. Umstritten war auch das Vorhaben, die Onlinefunktionen (eID) des Personalausweises zu fördern.

  4. Hannover Messe: Schindler verbindet Aufzüge mit dem Internet of Things

    Hannover Messe: Schindler verbindet Aufzüge mit dem Internet of Things

    Der Fahrstuhl- und Rolltreppenhersteller vernetzt seine Produkte, um sie smart zu machen – mit Machine Intelligence aus der Cloud, Big-Data-Analysen und Apps für die Anwender.

  5. Alle Meldungen aus Themen im Trend
Anzeige