Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.682.381 Produkten

Daniel Bachfeld 36

Alert Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Anzeige

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

Themen:

Anzeige
  1. OpenSSL bekommt "moderate" Sicherheitsupdates

    OpenSSL bekommt "moderate" Sicherheitsupdates

    Die Entwickler schließen insgesamt vier Lücken in der Krypto-Bibliothek. Das von den Schwachstellen ausgehende Risiko gilt als moderat bis niedrig.

  2. Sicherheitsupdate: Angriff auf Lücke in OpenSSL kann Client und Server abstürzen lassen

    Sicherheitsupdate: Angriff auf Lücke in OpenSSL kann Client und Server abstürzen lassen

    Unter bestimmten Voraussetzungen können Angreifer Geräte, die OpenSSL 1.1.0 einsetzen, mit einer DoS-Attacke malträtieren.

  3. Großpatchtag bei Juniper: Viele Security-Update für Junos OS und Co.

    Großpatchtag bei Juniper: Viele Security-Update für Junos OS und Co.

    Der Netzwerkausrüster Juniper hat Admins gleich eine ganze Reihe von Patches ins Osternest gelegt. Die Security-Updates schließen Lücken, durch die ein Angreifer schlimmstenfalls beliebige Befehle einschleusen kann.

  4. Kritischer Bug in Kompressions-Bibliothek RAR gefährdet AV-Software

    Kritischer Bug in Kompressions-Bibliothek RAR gefährdet AV-Software

    Fehler beim Auspacken von Archiven sind kritisch, weil sie sich besonders einfach ausnutzen lassen – etwa wenn die Antiviren-Software nach Schadcode sucht. Umso bitterer ist es, wenn die sich fünf Jahre nach ihrer Entdeckung noch ausnutzen lassen.

  1. Die Neuerungen von Linux 4.13

    Linux-Kernel 4.13

    Der neue Kernel kann die Schwerarbeit bei der HTTPS-Verschlüsselung übernehmen. Statt einer "inakkuraten" Taktfrequenzangabe findet sich in /proc/cpuinfo jetzt nur noch der Basistakt des Prozessors. Außerdem sind jetzt Treiber für neue Grafikkerne von AMD und Intel dabei.

  2. RESTful mit CoAP

    Aufruf des Arduino-basierten CoAP-Servers mit Copper-Plugin auf Firefox

    Die letzte Folge hat nachrichtenbasierte Kommunikation über das IoT-Protokoll MQTT adressiert. Als Alternative bietet sich CoAP als REST des kleinen Geräts an.

  3. Die Neuerungen von Linux 4.11

    Linux-Kernel 4.11

    Die neue Kernel-Version unterstützt moderne Stromspartechniken besser und kann so die Akkulaufzeit steigern. Die Entwickler haben Grundlagen gelegt, um auf x86-64-Systemen bald bis zu 1 Petabyte Arbeitsspeicher ansprechen zu können. Die nächste Kernel-Version bringt zudem eine Technik, um die 3D-Beschleunigung von Radeon-GPUs in VMs nutzen zu können. Auch die Unterstützung für den Raspberry Pi wird besser.

  1. Fastfood ist eine Infektion des Körpers

    Auf die "westliche Ernährung" mit zu viel Fett und Zucker reagiert das Immunsystem durch das Auslösen einer Entzündung, die nach einer Studie auch anhalten könnte, wenn man sich wieder gesund ernährt

  2. Honda CB 1000 R

    CB 1000 R

    Honda hatte ein Jahr lang das Naked Bike CB 1000 R aus dem Programm genommen, was bei den Fans für Unruhe sorgte. Die Nachfolgerin versöhnt beim ersten Anblick, das Design ist eine interessante Mischung aus modernen Formen und klassischen Elementen. Dazu bekam der Vierzylinder 20 PS mehr

  3. Österreich: Mit permanenten Tabubrüchen wird eine neue Normalität geschaffen

    Österreichs Rechtsregierung bekennt sich immer offener zu ihrer lang verleugneten Zuneigung zum Nationalsozialismus. Ein Kommentar

  4. Strengere Regeln für YouTube-Kanäle, die Geld verdienen wollen

    Strengere Regeln für YouTube-Kanäle, die Geld verdienen wollen

    YouTube wird strenger bei der Ausschüttung von Werbegeldern: Wer mit einem Kanal weiterhin Geld verdienen will, muss mindestens 1000 Abonnenten und 4000 Stunden "Sehdauer" vorweisen. Kleine Kanäle gehen künftig leer aus.

Anzeige