Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 2

Alert Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser

Tavis Ormandy hat dem OpenSSL-Team eine Sicherheitslücke in der aktuellen Version der Open-Source-Bibliothek gemeldet, die jetzt durch ein Update geschlossen wird. Die Fehler treten beim Parsen von ASN1-Daten durch die Funktion asn1_d2i_read_bio() auf. Dem offiziellen OpenSSL-Advisory und Ormandys Veröffentlichung lässt sich noch entnehmen, dass Applikationen gefährdet sind, die externe X.509-Zertifikate oder öffentliche RSA-Schlüssel verarbeiten. Darüber hinaus sind die Informationen dazu, welche Applikationen konkret betroffen sind und was das bedeutet, weitgehend kryptisch.

Die OpenSSL-Versionen 1.0.1a, 1.0.0i und 0.9.8v schließen die "ASN1 BIO"-Lücke. Wie dringlich ein Update ist, lässt sich den Veröffentlichungen nicht entnehmen. Das OpenSSL-Team spricht von einer "potenziell ausnutzbaren Lücke", Ormandy konkretisiert das zu "kann Probleme in der Speicherverwaltung verursachen" (cause memory corruption), lässt sich aber über deren Konsequenzen auch nicht weiter aus. Klarheit über die Tragweite wird wohl erst ein Metasploit-Modul schaffen.

Nicht betroffen ist zumindest der SSH-Server des OpenSSH-Projekts. Wie Damien Miller erklärt, nutzt sshd einen eigene Funktion openssh_RSA_verify() zur Überprüfung von RSA-Schlüsseln, was jetzt bereits 8 ausnutzbare Bugs im ASN.1-Parser abgefangen habe. (ju)

2 Kommentare

Themen:

Anzeige
  1. Jetzt patchen! Apache Struts 2 im Visier von Hackern

    Server

    Derzeit nutzen Angreifer gehäuft eine kritische Sicherheitslücke in dem Framework aus und versuchen so Web-Server zu übernehmen. Neue Versionen und Workarounds schaffen Abhilfe.

  2. Google-Forscher entdecken dramatische Windows-Lücke

    Tavis Ormandy "Worst RCE Exploit" in recent memory

    Tavis Ormandy und Natalie Silvanovich haben nach eigenen Angaben eine der schlimmsten Windows-Lücken der letzten Zeit entdeckt. Sie betrifft Standardinstallationen und soll sich zur Konstruktion eines sich selbst verbreitenden Wurms eignen.

  3. Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich

    Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich gemacht

    Durch Fehler in der Serversoftware von Cloudflare wurden monatelang sensible Informationen von Webseiten im Netz verteilt. Webseiten, die das CDN nutzen, schickten bei Anfragen den Speicherinhalt anderer Cloudflare-Seiten mit.

  4. WebEx: Böses Sicherheitsloch in Ciscos Web-Conferencing

    Böses Sicherheitsloch in Ciscos Web-Conferencing

    Die von Millionen genutzte Browser-Erweiterung Cisco WebEx stümpert in Sachen Sicherheit. Selbst die von Cisco in aller Eile produzierte neue Version dichtet eine klaffende Lücke bestenfalls notdürftig ab.

  1. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  2. Open Bug Bounty: Sicherheitslücken gegen Prämie

    Open Bug Bounty: Portal für Sicherheitslücken

    heise Security machte nicht ganz freiwillig Bekanntschaft mit einer bisher weitgehend unbekannten Plattform, auf der Hacker und andere Forscher Sicherheitslücken melden können.

  3. Preisvergabe an die besten "Innovatoren unter 35"

    TR35: Preisvergabe an die besten "Innovatoren unter 35"

    Bei dem Wettbewerb "Innovatoren unter 35" kürte Technology Review am Dienstag im Quadriga Forum in Berlin die Gewinner. Gero Decker erhielt den Titel "Innovator of the Year" und Ansgar Jonietz wurde zum "Social Innovator of the Year" ernannt.

  1. Freudsche Zustände

    Gestaltet der Mensch seine Gesellschaft bewusst - oder wird er unbewusst durch Strukturen und Dynamiken des Systems geformt?

  2. Antarktis: Riesen-Eisberg abgebrochen

    Klimawandel oder natürlicher Vorgang? In der Antarktis könnte durch einen großen Abbruch der viertgrößte Eisschelf des eisigen Kontinents destabilisiert worden sein

  3. Hindernisreicher Weg nach 5G

    Fernsehsender blockieren Frequenzen für neuen Mobilfunkstandard

  4. Fußball Bundesliga 2017/18 live im TV und Internet: Wo ist was zu sehen?

    Bundesliga-Logo

    Die 55. Fußball-Bundesliga-Saison 2017/18 beginnt am 18. August mit dem Auftaktspiel des Deutschen Meisters. Daran hat sich nichts geändert. Fußball-Fans müssen sich mit der neuen Saison aber an viele Neuerungen in der Fußball-Übertragung gewöhnen.

Anzeige