[OpenBSD] Schwachstelle in der OpenSSL TLS Extension – OpenBSD-48-errata-004

[OpenBSD] Schwachstelle in der OpenSSL TLS Extension - OpenBSD-48-errata-004

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des OpenBSD Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-3864 – Schwachstelle in der TLS Erweiterung von OpenSSL

Die TLS Erweiterung von OpenSSL behandelt benutzerkontrollierte Daten
nicht richtig. Auf einem OpenSSL basierten TLS Server, der
multi-threaded arbeitet und internes Caching anbietet, kann durch eine
Race-condition ein Heap-Overflow ausgeloest werden. Ein entfernter
Angreifer kann diese Schwachstelle ausnutzen um den Server zum Absturz
oder schlimmstenfalls beliebige Befehle mit dessen Rechten zur
Ausfuehrung zu bringen. Hinweis: OpenSSL 0.9.8f bis 0.9.8o, 1.0.0, und
1.0.0a sind betroffen, Multi-Prozess Server oder solche ohne internes
Caching (wie der Apache HTTP Server oder Stunnel) sind nicht betroffen.

Betroffen sind die folgenden Software Pakete und Plattformen:

openssl

OpenBSD 4.8

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

Errata List: http://www.openbsd.org/errata48.html
OpenBSD Patch Announcement: OpenBSD-48-errata-004
Platform: 48

004: RELIABILITY FIX: November 17, 2010
All architectures

Fix a flaw in the OpenSSL TLS server extension code parsing which
could lead to a buffer overflow. This affects OpenSSL based TLS
servers which are multi-threaded and use OpenSSL’s internal caching
mechanism. Servers that are multi-process and/or disable internal
session caching are not affected.

A source code patch exists which remedies this problem.

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkzlYpgACgkQWmhIvjFb90WeDQCfV27ckuzIIS32PEed7bkrbBg0
2d4AoJcghaF4QOzDe7ILneByW8FydrEz
=LBVz
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben