Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 2

Alert Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

Anzeige
  1. WebEx: Böses Sicherheitsloch in Ciscos Web-Conferencing

    Böses Sicherheitsloch in Ciscos Web-Conferencing

    Die von Millionen genutzte Browser-Erweiterung Cisco WebEx stümpert in Sachen Sicherheit. Selbst die von Cisco in aller Eile produzierte neue Version dichtet eine klaffende Lücke bestenfalls notdürftig ab.

  2. Lastpass schließt weitere Sicherheitslücken

    Lastpass schliesst weitere Sicherheitslücken

    Lastpass spielt schon wieder Updates aus, da ein Google-Forscher zwei Sicherheitslücken entdeckt hat, die beim ersten Mal nicht ordentlich geschlossen wurden.

  3. Trend-Micro-Produkte öffneten triviale Hintertür

    Binärcode

    Antiviren-Software soll das System vor bösartiger Software schützen. Immer öfter stellt sich jedoch heraus, dass sie selbst als Einfallstor dienen kann. Ein Sicherheitsexperte demonstriert das zum wiederholten Mal mit Trend Micros Security-Produkten.

  4. Kritische Lücke in Roundcube: Mail hackt Server

    Kritische Lücke in Webmail-Software Roundcube: Mail hackt Server

    In der Webmail-Software Roundcube klafft eine kritische Lücke, die es in sich hat: Ein Angreifer kann den Server mit einer Mail kompromittieren.

  5. Alle Meldungen aus Weitere News zum Thema
  1. Die Neuerungen von Linux 4.7

    Kernel-Log-Logo

    Die neue Kernel-Version unterstützt AMDs neue Grafikchips. Ferner soll Linux 4.7 das Stromsparpotenzial moderner Prozessoren stärker ausschöpfen und Wartezeiten vermeiden, die bislang bei hoher Netzwerklast auftraten.

  2. Die Neuerungen von Linux 4.10

    Linux-Kernel 4.10

    Linux 4.10 bringt eine weitere Möglichkeit, um in virtuellen Maschinen den Grafikprozessor des Hosts zu verwenden. Ein RAID-Cache kann die Performance von Festplatten-Arrays steigern. Firefox soll nicht mehr so leicht ruckeln, wenn der Kernel große Datenmengen schreibt. Außerdem unterstützt Linux einen Schlafzustand moderner Notebooks jetzt besser.

  3. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  4. Alle Meldungen aus Ähnliche Artikel
  1. "Großes Finale": Cassini meldet sich nach Flug zwischen dem Saturn und seinen Ringen

    "Großes Finale": Cassini meledet sich nach Flug zwischen Saturn und Ringen

    Einen Tag nach dem ersten Abtauchen zwischen den Saturn und seine Ringe hat sich die NASA-Sonde Cassini zurückgemeldet. Eine Antenne in Kalifornien empfängt die heiß ersehnten Daten. Offenbar lief alles nach Plan, freut sich die NASA.

  2. Streaming-Tipp: "Die Amiga-Story" vorab in der ZDF-Mediathek

    Streaming-Tipp: "Die Amiga-Story" vorab in der ZDF-Mediathek

    Auch nach über 30 Jahren hat der Commodore Amiga eine riesige Fan-Gemeinde, die sich auf die Dokumentation "Die Amiga-Story" freuen dürfte. Seit 10 Uhr lässt sich die Dokumentation aus der ZDF-Mediathek abrufen.

  3. USA: Auftakt zum Ende der Netzneutralität

    Person hält US-Wimpel hoch

    Der neue Vorsitzende der Regulierungsbehörde FCC möchte der Netzneutralität die rechtliche Grundlage entziehen. Er baut auf freiwillige Selbstbeschränkungen der Telecom-Konzerne.

  4. Kumulatives Update für Windows 10: Lockscreen wieder abschaltbar

    Kumulatives Update für Windows 10: Lockscreen wieder abschaltbar

    Mit einem kumulativen Patch für Windows 10 in Version 1703 kommt eine Komfortfunktion zurück, die Microsoft den Anwendern erst vor neun Monaten weggenommen hatte.

  5. Alle Meldungen aus Themen im Trend
Anzeige