Open Source im professionellen Einsatz

OpenSSL-Schwachstellen

Das OpenSSL-Team hat neue Versionen der OpenSSL-Bibliothek bereitgestellt. In den den Versionen 0.9.8zh, 1.0.0.0t, 1.0.0.1q und 1.0.2e wurden fünf Schwachstellen korrigiert. Zwei davon wurden als harmlos eingestuft, aber die anderen drei als potenziell gefährlich.

Die erste dieser drei Sicherheitslücken befindet sich in der Montgomery-Squaring-Prozedure, wobei darauf basierende Attacken gegen DSA und RSA laut Advisory schwierig zu realisieren sind. Die zweite Schwachstelle tritt beim Verarbeiten von Zertifikaten auf. Hier kann es zu einem Absturz kommen, falls der PSS-Parameter fehlt. Ursache ist ein Nullzeiger-Dereferenz-Fehler im Programmcode, der durch bestimmte Benutzereingaben hervorgerufen werden kann. Ein Angreifer kann dies für Denial-of-Service-Attacken ausnutzen. Anwendungen, die OpenSSL zur Validierung von Zertifikaten verwenden, sind anfällig für diese Attacke. Das dritte Problem tritt beim Verarbeiten der X509_ATTRIBUTE-Struktur in OpenSSL auf. Hier kommt es zu einem Memory Leak im Code. Die X509_ATTRIBUTE-Struktur wird von den PKCS#7- und CMS-Routinen verwendet. SSL/TLS-Applikationen sind demzufolge nicht betroffen von diesem Problem.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.