Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Daniel Bachfeld 36

Alert Sicherheitsupdate für OpenSSL beseitigt vier Lücken

Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.

Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.

Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen.

Siehe dazu auch: (dab)

36 Kommentare

Themen:

Anzeige
  1. OpenSSL bekommt "moderate" Sicherheitsupdates

    OpenSSL bekommt "moderate" Sicherheitsupdates

    Die Entwickler schließen insgesamt vier Lücken in der Krypto-Bibliothek. Das von den Schwachstellen ausgehende Risiko gilt als moderat bis niedrig.

  2. Neue Sicherheits-Updates: OpenSSL hat sich verpatcht

    Neue Sicherheits-Updates: OpenSSL hat sich verpatcht

    Admins sollten aufpassen, welche abgesicherten OpenSSL-Versionen sie einspielen: Die Patches aus der vergangenen Wochen haben zwei weitere Lücken aufgerissen. Aktualisierte Versionen stehen bereit.

  3. Sicherheitsupdate: Angriff auf Lücke in OpenSSL kann Client und Server abstürzen lassen

    Sicherheitsupdate: Angriff auf Lücke in OpenSSL kann Client und Server abstürzen lassen

    Unter bestimmten Voraussetzungen können Angreifer Geräte, die OpenSSL 1.1.0 einsetzen, mit einer DoS-Attacke malträtieren.

  4. Sicherheitsupdate: OpenSSL kann crashen und sich verrechnen

    Sicherheitsupdate: OpenSSL kann crashen und sich verrechnen

    Über drei Schwachstellen können Angreifer OpenSSL attackieren. Davon ist vor allem Version 1.1.0 betroffen. Eine abgesicherte Ausgabe steht zum Download bereit.

  1. Die Neuerungen von Linux 4.11

    Linux-Kernel 4.11

    Die neue Kernel-Version unterstützt moderne Stromspartechniken besser und kann so die Akkulaufzeit steigern. Die Entwickler haben Grundlagen gelegt, um auf x86-64-Systemen bald bis zu 1 Petabyte Arbeitsspeicher ansprechen zu können. Die nächste Kernel-Version bringt zudem eine Technik, um die 3D-Beschleunigung von Radeon-GPUs in VMs nutzen zu können. Auch die Unterstützung für den Raspberry Pi wird besser.

  2. RESTful mit CoAP

    Aufruf des Arduino-basierten CoAP-Servers mit Copper-Plugin auf Firefox

    Die letzte Folge hat nachrichtenbasierte Kommunikation über das IoT-Protokoll MQTT adressiert. Als Alternative bietet sich CoAP als REST des kleinen Geräts an.

  3. Was Fedora 23 Neues bringt

    Fedora-Desktop

    Fedora will das BIOS-Update erleichtern und macht Fortschritte beim Umstieg auf Wayland. Neu ist auch eine Cinnamon-Distribution und Unterstützung für OpenGL 4.1.

  1. NASA-Sonde Cassini: Magnetfeld des Saturn bleibt rätselhaft

    NASA-Sonde Cassini: Magnetfeld des Saturn bleibt rätselhaft

    Nur beim Saturn sind Rotationsachse und Magnetfeldachse fast absolut parallel. Auch Cassini hat keine Abweichung gefunden, die ausreicht um die Existenz des Magnetfelds nach gegenwärtigem Wissensstand zu erklären.

  2. Mehr Speicherplatz: Seagate stellt HAMR-Festplatten für Ende 2016 in Ausicht

    Perpendicular vs HAMR Recording

    Die nächste Evolution in der Festplattentechnik deutet sich an: Seagate will Ende kommenden Jahres die ersten Festplatten an Pilotkunden ausliefern, die mit Heat Assisted Magnetic Recording arbeiten. Bis 2025 soll es Festplatten mit 100 TByte geben.

  3. Umfrage: Anwender sollen Standard-Anwendungen in Ubuntu 18.04 wählen

    Anwender sollen Standard-Anwendungen in Ubuntu 18.04 bestimmen

    Canonical will wissen, welche Anwendungen die Ubuntu-Nutzer bevorzugen. In einer offenen Umfrage können Anwender in insgesamt 14 Kategorien wählen, welche Applikationen in Ubuntu 18.04 LTS als Standard mitgeliefert werden sollen.

  4. photokina: Neustart bei der weltgrößten Fotomesse

    Interview mit photokina-Manager Christoph Menke: Neustart bei der weltgrößten Fotomesse

    Die photokina wird modernisiert: Unter anderem soll die Fachmesse mit neuem Termin im Mai, weniger Messetagen und jährlichem Turnus attraktiver werden. Für den Veranstalter steht viel auf dem Spiel. Ein Interview mit photokina-Manager Christoph Menke.

Anzeige