Open Source im professionellen Einsatz

OpenSSL: Zahlreiche Denial-of-Service-Attacken

 In der OpenSSL-Applikation wurden zahlreiche Schwachstellen entdeckt, die es einem entfernten Angreifer erlauben Denial-of-Service-Attacken durchzuführen. Das erste Problem tritt beim Verarbeiten bestimmter SHA512-TLS-Session-Tickets auf. Ursache hierfür ist ein Out-of-Bound-Fehler beim Einlesen der Daten.

Ein weiteres Problem wurde in der MDC2_Update()-Funktion (»crypto/mdc2/mdc2dgst.c«-Datei). Auch dieser Programmierfehler kann von einem entfernten Angreifer ausgenutzt werden, um den Dienst zum Absturz zu bringen. Weiter wurde ein Out-of-Bounds-Speicher-Fehler beim Verarbeiten von TLS/SSL-Protokoll-Handshake-Nachrichten entdeckt. Ein entfernter Angreifer kann damit ebenfalls eine Denial-of-Service-Attacke gegen den Dienst ausführen. Ein Fehler bei der Speicherallokation in der »tls_get_message_header()«-Funktion führt dazu, dass OpenSSL sehr viel Speicher verbraucht. Unter Umständen kann dies zum Absturz der Applikation führen. Ein weitere Speicherfehler befindet sich auch in der dtls1_preprocess_fragment()-Funktion. Dieser Fehler führt ebenfalls zu einem Absturz durch einen zu großen Speicherverbrauch.

Patches für die Versionen 1.0.1u, 1.0.2i, und 1.1.0a wurden veröffentlich.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.