Abo
  • Services:
Anzeige
Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update
Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update (Bild: martinak15 / Wikimedia Commons / CC by 2.0)

Sicherheitslücken: OpenSSL-Update verursacht ABI-Probleme

Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update
Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update (Bild: martinak15 / Wikimedia Commons / CC by 2.0)

OpenSSL veröffentlicht Updates für kleinere Sicherheitslücken - dabei ist den Entwicklern ein Fehler unterlaufen: Durch eine veränderte Datenstruktur ändert sich die Binärschnittstelle der Bibliothek, was zu Fehlfunktionen führen kann.

Anzeige

OpenSSL hat für mehrere Versionszweige seiner Software neue Versionen veröffentlicht. Die aktuellste Version ist nun 1.0.2b, auch für ältere Versionszweige wurden Updates herausgegeben. Das Security-Advisory listet sieben Sicherheitslücken, die mit diesem Update behoben worden sind. Kritische Lücken sind nicht darunter, am relevantesten ist ein Workaround für die Logjam-Lücke.

Geänderte Datenstruktur bricht ABI

Administratoren, die das Update besonders schnell eingespielt haben, bekommen möglicherweise Probleme. Wenige Stunden nach der Veröffentlichung meldete sich der Programmierer Dan McDonald auf der OpenSSL-Entwickler-Mailing-Liste und wies auf ein Problem hin: Die neuen Versionen ändern die Datenstruktur HMAC_CTX, die Teil der öffentlichen API von OpenSSL ist.

Eine solche veränderte Datenstruktur ist nichts Ungewöhnliches, allerdings führt man derartige Änderungen üblicherweise nur bei großen Versionssprüngen durch. Das Problem: Durch diese Änderung verändert sich die Binärschnittstelle der OpenSSL-Bibliothek, die sogenannte ABI.

Um Probleme mit ABI-Änderungen zu vermeiden, wird bei solchen großen Versionssprüngen üblicherweise die Versionsnummer im Dateinamen der Bibliothek geändert, aus libssl.so.1.0.0 könnte beispielsweise libssl.so.1.0.1 werden. In diesem Fall ist das aber nicht geschehen. Alle Programme, die eine Bibliothek verwenden, müssen bei einer ABI-Umstellung neu kompiliert werden.

ABI-Änderungen innerhalb eines Versionszweigs ein No-Go

Nutzt man ein Programm, das mit der alten ABI von OpenSSL kompiliert wurde, kann es mit der neuen Version zu Fehlfunktionen kommen. Probleme könnten etwa Nutzer von älteren OpenSSH-Versionen bekommen. OpenSSH 6.6 und neuer nutzen allerdings eine eigene HMAC-Implementierung, dadurch tauchen hier keine Probleme auf.

OpenSSL-Entwickler Matt Caswell schrieb, das Entwicklerteam berate gerade, wie sie mit der Sache umgingen. Eigentlich sind ABI-Änderungen innerhalb eines Versionszweiges laut Caswell ein No-Go. Absichtlich erfolgte die Änderung daher wohl nicht.

Logjam-Workaround und kleinere Sicherheitsfixes

Die Sicherheitsfixes in der neuen Version sind überwiegend unspektakulär. Die Logjam-Lücke im Diffie-Hellman-Schlüsselaustausch ist ein Protokollproblem und kein Fehler von OpenSSL, aber um Probleme zu vermeiden, wurde in OpenSSL eine Mindestgröße für den sogenannten Modulus von Diffie Hellman eingeführt. Dieser muss jetzt mindestens 768 Bit groß sein, später soll dieses Minimum auf 1024 Bit angehoben werden.

Weiterhin wurde eine Endlosschleife in der Verarbeitung der Parameter von elliptischen Kurven gefunden. Ein Angreifer kann damit die Systemauslastung eines Servers oder Clients in die Höhe treiben. Ein ungültiger Speicher-Lesezugriff in der Funktion X509_cmp_time wurde unabhängig voneinander von Google-Mitarbeiter Robert Swiecki und vom Autor dieses Artikels entdeckt.

Die Google-Mitarbeiterin Emilia Käsper fand eine Race-Condition im Code zur Verwaltung von TLS-Session-Tickets, die zu einem Double-Free-Fehler führen kann. Daneben fanden sich noch eine Reihe von sicherheitskritischen Fehlern in seltener genutzten Protokollen wie DTLS, CMS und PKCS #7.

Nachtrag vom 12. Juni 2015, 17:59 Uhr

Inzwischen hat OpenSSL die Versionen 1.0.2c und 1.0.1o veröffentlicht, die Änderung der ABI wird darin wieder rückgängig gemacht. Nutzer sollten bevorzugt auf diese Versionen aktualisieren.


eye home zur Startseite
GodsBoss 16. Jun 2015

Andere wiederum urteilen über Menschen, über die sie nichts wissen und schreiben ihnen...



Anzeige

Stellenmarkt
  1. B. Metzler seel. Sohn & Co. Holding AG, Frankfurt
  2. Hubert Burda Media, Offenburg
  3. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm
  4. Signavio GmbH, Berlin


Anzeige
Top-Angebote
  1. (u. a. Xbox One S + 2. Controller + 4 Spiele für 319,00€, SanDisk 32-GB-USB3.0-Stick 9,00€ u...
  2. (heute Box-Sets reduziert u. a. Zurück in die Zukunft Trilogie 12,97€, Mission Impossible 1-5...
  3. 129,90€ inkl. Versand (Vergleichspreis ca. 148€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  2. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  3. Raumfahrt

    Europa bleibt im All

  4. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  5. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  6. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  7. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  8. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  9. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  10. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

Shadow Tactics im Test: Tolle Taktik für Fans von Commandos
Shadow Tactics im Test
Tolle Taktik für Fans von Commandos
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Total War Waldelfen stürmen Warhammer
  3. Künstliche Intelligenz Ultimative Gegner-KI für Civilization gesucht

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

  1. Re: Abfrage der Umsätze der vergangen 30 Tage...

    Bouncy | 18:39

  2. Die Neid-Keule mal wieder

    azeu | 18:37

  3. Re: Als ob die sich bisher um rechtliche...

    DerSkeptiker | 18:32

  4. Re: Alter Hut

    DerSkeptiker | 18:22

  5. Re: Angriffs Szenario

    fuzzy | 18:19


  1. 15:33

  2. 14:43

  3. 13:37

  4. 11:12

  5. 09:02

  6. 18:27

  7. 18:01

  8. 17:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel