Eine Sicherheitslücke in Open SSL hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken durchführen kann. Ein Angreifer ist dadurch in der Lage, den Dienst zum Absturz zu bringen. Hierzu muss er lediglich speziell konstruierte Netzwerkdaten an die Open-SSL-Applikation senden.
Der Programmierfehler befindet sich in der Funktion “do_ssl3_write()” in der Quelltextdatei “ssl/s3_pkt.c”. Ursache des Problems ist eine Null-Zeiger-Dereferenzierung, die zum Absturz führt. Das Patch besteht darin, in der fehlerhaften Funktion einen Check auf NULL-Daten durchzuführen:
/* we may have released our buffer, so get it again */ if (wb->buf == NULL) if (!ssl3_setup_write_buffer(s)) return -1;
Damit tritt das Problem nicht mehr auf.
Betroffen sind die Open-SSL-Versionen 1.0.1g und älter.

