Kryptobibliothek: OpenSSL-Lücke in Zertifikatschecks

Ein Fehler von OpenSSL bei der Zertifikatsvalidierung betrifft nur wenige Anwendungen, ein weiterer Bug lässt Server abstürzen.

Artikel veröffentlicht am ,
OpenSSL patzt bei der Prüfung von Zertifikatssignaturen, aber der Fehler betrifft die meisten Anwendungen nicht.
OpenSSL patzt bei der Prüfung von Zertifikatssignaturen, aber der Fehler betrifft die meisten Anwendungen nicht. (Bild: DKrue, Pixabay)

Die Entwickler von OpenSSL haben zwei Sicherheitslücken geschlossen. Eine Lücke ermöglicht das Austricksen der Zertifikatsvalidierung, sie ist aber nur ausnutzbar, wenn ein spezielles, fast nie genutztes Flag aktiviert wird. Ein weiterer Fehler betrifft die TLS-Renegotiation, mit dem Bug lassen sich Server zum Absturz bringen.

Die Sicherheitslücke mit der Kennung CVE-2021-3450 betrifft die Funktionalität zur Prüfung von Zertifikaten. Diese Funktionen besitzen einen speziellen Strict-Modus, der über ein Flag aktiviert werden kann. In diesem Modus werden Zertifikate, die individuelle Parameter für elliptische Kurven verwenden, nicht akzeptiert. Solche Zertifikate werden praktisch nie genutzt, da üblicherweise vordefinierte Parameter für elliptische Kurven verwendet werden.

Zertifikatscheck lässt sich überschreiben

Der Check auf solche ungewöhnlichen Zertifikate wurde fehlerhaft implementiert. Der Fehler ermöglicht es, die ebenfalls stattfindende Prüfung, ob das Zertifikat von einer akzeptierten Zertifizierungsstelle unterschrieben wurde, zu überschreiben.

Eigentlich ein extrem kritischer Bug. In der Praxis dürfte er trotzdem nahezu keine Auswirkungen haben. Der spezielle Strict-Modus für die Zertifikatsprüfung wird praktisch nie verwendet. Die meisten Anwendungen, die OpenSSL verwenden, sind nicht betroffen.

Der zweite Fehler, den OpenSSL behoben hat, trägt die Kennung CVE-2021-3449 und findet sich im Code für die Renegotiation. Diese Funktion, die in TLS 1.2 und älteren Versionen vorhanden ist, ermöglicht es, während einer TLS-Verbindung einen neuen Handshake durchzuführen.

Crash, aber keine weiteren Auswirkungen

Setzt ein Client bestimmte Erweiterungsparameter im Renegotiation-Handshake, führt das auf dem Server zu einem Zugriff auf einen Null-Pointer. Solche Null-Pointer-Bugs führen zu einem Speicherzugriffsfehler und einem Absturz der Applikation. Eine Ausführung von Code ist nicht möglich.

OpenSSL hat die Version 1.1.1k veröffentlicht, die beide Fehler behebt. Die gängigen Linux-Distributionen werden Updates in Kürze bereitstellen, insbesondere auf Servern sollten diese zeitnah installiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Augen
Besser sehen bei der Bildschirmarbeit

Arbeitsplatzbrille, Blaulichtfilter, Glaukom: Was ist bei langen Arbeitszeiten am Monitor zu beachten? Eine Augenärztin gibt Tipps.
Von Peter Steinlechner

Augen: Besser sehen bei der Bildschirmarbeit
Artikel
  1. Energieversorgung: Nachfrage nach Wärmepumpen kühlt ab - außer in Deutschland
    Energieversorgung
    Nachfrage nach Wärmepumpen kühlt ab - außer in Deutschland

    Der Europäische Wärmepumpenverband zeigt sich wegen sinkender Absatzzahlen besorgt, aber hierzulande bleibt das Interesse groß.

  2. Gebrochene Platine: Vorsicht bei schweren Grafikkarten
    Gebrochene Platine
    Vorsicht bei schweren Grafikkarten

    Schon Mittelklasse-GPUs haben häufig große Kühlkörper. Nutzer sollten besonders vor dem Transport sicherstellen, dass die Platine nicht zu stark belastet wird.

  3. Frigate: Intelligente Videoüberwachung ohne Cloudzwang
    Frigate
    Intelligente Videoüberwachung ohne Cloudzwang

    Mit der Open-Source-Software Frigate lässt sich eine moderne Videoüberwachung realisieren - ohne Hersteller-Cloud und unabhängig von der Hardware.
    Von Dominik Haas

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MSI XMAS-Sale • Crucial P5 Plus SSD 500GB 39,99€ • Nur noch kurz: 3 für 2 Games-Aktion (PS5, PS4, Xbox, PC) • Apple Week • AVM Fritz Box 7510 74,99€ • Last-Minute-Angebote bei Amazon • Avatar, AC: Mirage & The Crew Motorfest bis -50% • Xbox Series X 399€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /