OpenSSL: Denial-of-Service-Attacke bei TLS-Handshake

Eine Sicherheitslücke in der OpenSSL-Kryptobibliothek hat zur
Folge, dass ein entfernter Angreifer entsprechende Anwendungen zum Absturz bringen kann.

Ursache der Schwachstelle ist ein Programmierfehler in der SSL_check_chain()-Funktion. Diese Funktion wird bei TLS-1.3-Handshakes aufgerufen. Ein Angreifer kann dieses Problem ausnutzen, indem er über den Handshake-Vorgang speziell präparierte Daten an die SSL_check_chain()-Funktion übergibt. Dies ist über die Signature-Algorithms-Cert-TLS-Erweiterung möglich. Bei dem Programmierfehler handelt es sich um ein typisches NULL-Zeiger-Dereferenzproblem.

Die Sicherheitslücke wurde von den Entwicklern in der neuen Version 1.1.1g behoben.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben