• IT-Karriere:
  • Services:

Kryptobibliothek: OpenSSL-Lücke in Zertifikatschecks

Ein Fehler von OpenSSL bei der Zertifikatsvalidierung betrifft nur wenige Anwendungen, ein weiterer Bug lässt Server abstürzen.

Artikel veröffentlicht am ,
OpenSSL patzt bei der Prüfung von Zertifikatssignaturen, aber der Fehler betrifft die meisten Anwendungen nicht.
OpenSSL patzt bei der Prüfung von Zertifikatssignaturen, aber der Fehler betrifft die meisten Anwendungen nicht. (Bild: DKrue, Pixabay)

Die Entwickler von OpenSSL haben zwei Sicherheitslücken geschlossen. Eine Lücke ermöglicht das Austricksen der Zertifikatsvalidierung, sie ist aber nur ausnutzbar, wenn ein spezielles, fast nie genutztes Flag aktiviert wird. Ein weiterer Fehler betrifft die TLS-Renegotiation, mit dem Bug lassen sich Server zum Absturz bringen.

Stellenmarkt
  1. thinkproject Deutschland GmbH, Berlin
  2. Allianz Versicherungs-AG, München Unterföhring

Die Sicherheitslücke mit der Kennung CVE-2021-3450 betrifft die Funktionalität zur Prüfung von Zertifikaten. Diese Funktionen besitzen einen speziellen Strict-Modus, der über ein Flag aktiviert werden kann. In diesem Modus werden Zertifikate, die individuelle Parameter für elliptische Kurven verwenden, nicht akzeptiert. Solche Zertifikate werden praktisch nie genutzt, da üblicherweise vordefinierte Parameter für elliptische Kurven verwendet werden.

Zertifikatscheck lässt sich überschreiben

Der Check auf solche ungewöhnlichen Zertifikate wurde fehlerhaft implementiert. Der Fehler ermöglicht es, die ebenfalls stattfindende Prüfung, ob das Zertifikat von einer akzeptierten Zertifizierungsstelle unterschrieben wurde, zu überschreiben.

Eigentlich ein extrem kritischer Bug. In der Praxis dürfte er trotzdem nahezu keine Auswirkungen haben. Der spezielle Strict-Modus für die Zertifikatsprüfung wird praktisch nie verwendet. Die meisten Anwendungen, die OpenSSL verwenden, sind nicht betroffen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Der zweite Fehler, den OpenSSL behoben hat, trägt die Kennung CVE-2021-3449 und findet sich im Code für die Renegotiation. Diese Funktion, die in TLS 1.2 und älteren Versionen vorhanden ist, ermöglicht es, während einer TLS-Verbindung einen neuen Handshake durchzuführen.

Crash, aber keine weiteren Auswirkungen

Setzt ein Client bestimmte Erweiterungsparameter im Renegotiation-Handshake, führt das auf dem Server zu einem Zugriff auf einen Null-Pointer. Solche Null-Pointer-Bugs führen zu einem Speicherzugriffsfehler und einem Absturz der Applikation. Eine Ausführung von Code ist nicht möglich.

OpenSSL hat die Version 1.1.1k veröffentlicht, die beide Fehler behebt. Die gängigen Linux-Distributionen werden Updates in Kürze bereitstellen, insbesondere auf Servern sollten diese zeitnah installiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

M.P. 26. Mär 2021 / Themenstart

Das waren auch meine Bedenken

M.P. 26. Mär 2021 / Themenstart

Das ist der "normale" Teil der Aussage. Kann man aus der weitest verbreiteten Verwendung...

Kommentieren


Folgen Sie uns
       


Samsung Galaxy S21 und S21 Plus vorgestellt

Die beiden Grundmodelle von Samsungs Galaxy-S21-Serie kommen ohne abgerundete Displays und mit bekannten Kameras.

Samsung Galaxy S21 und S21 Plus vorgestellt Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /