Open Source im professionellen Einsatz

SSL-Death-Alert

Eine Sicherheitslücke in Open SSL hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken gegen SSL-Verbindungen durchführen kann. Der Fehler wurde bereits im August von Shi Lei (Gear Team, Qihoo 360 Inc.) entdeckt. Die entdeckte Schwachstelle tritt beim Verarbeiten von »SSL3_AL_WARNING«-Nachrichten auf. Laut Shi Lei wurde das Problem bereits im September an das OpenSSL-Team gemeldet. Dort wurde allerdings beschlossen, dass kein offizielles Security-Advisory veröffentlich werden soll, die Schwachstelle aber trotzdem im Code zu korrigieren sei. Der Patch floss in das Release vom 22. September ein. Die Ursache der Schwachstelle befindet sich in der »ssl3_read_bytes()«-Funktion in der »ssl/s3_pkt.c«-Datei. Sendet ein Angreifer zahlreiche SSL3_AL_WARNING-Pakete während des SSL-Handshakes, so schnellt die CPU-Nutzung des Servers auf 100% hoch. Ursache hierfür ist eine ineffiziente Programmierung beim Bearbeiten dieser Anfragen, die dann zu der Denial-of-Service-Schwachstelle führt.

Betroffen sind die Versionen 1.1.0, 1.0.2 - 1.0.2h, 1.0.1 und 0.9.8.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.