Security: OpenSSL-Update schließt Sicherheitslücken

OpenSSL 1.1.1l schließt zwei Sicherheitslücken, darunter einen mit einer hohen Risikobewertung eingeschätzten Buffer Overflow.

Artikel veröffentlicht am ,
OpenSSL und ein Zaun - bei beiden sind Lücken gar nicht gut.
OpenSSL und ein Zaun - bei beiden sind Lücken gar nicht gut. (Bild: Steffen Voß via flickr/CC-BY-SA 2.0)

Mit der Veröffentlichung von OpenSSL 1.1.1l werden zwei Sicherheitslücken geschlossen. Eine der beiden Lücken wurde als hohes Risiko eingeschätzt, die andere Lücke als mittleres.

Stellenmarkt
  1. Projektmanagerin / Projektmanager - Schwerpunkt Herz- und Gefäßmedizin
    Universitätsklinikum Frankfurt, Frankfurt am Main
  2. Senior SAP SCM Inhouse Berater (m/w/d) als Prozess- und Anwendungsspezialist
    Metabowerke GmbH, Nürtingen
Detailsuche

Bei dem mit einem hohen Risiko bewerteten Problem CVE-2021-3711 handelt es sich um einen Pufferüberlauf in der Entschlüsselung von mit SM2 verschlüsselten Daten. Angreifer könnten diese Lücke aus der Entfernung ausnutzen, indem sie speziell manipulierte SM2-Inhalte übertragen und so Daten außerhalb des dafür vorgeschriebenen Bereichs überschreiben. Als Folge droht ein Absturz, mit entsprechender Vorbereitung könnte dadurch aber auch eigener Code in die Anwendung eingeschleust und zur Ausführung gebracht werden.

Laut Notiz zu der Lücke auf OpenSSL.org konnten so bis zu 62 Bytes im Heap überschrieben werden.

Die zweite Lücke ist schon länger vorhanden

Auch die mit einem mittleren Risiko bewertete Schwachstelle CVE-2021-3712 basiert auf einem überlaufenden Puffer, diesmal jedoch nur beim Lesen. Hier wurden ASN.1-Strings innerhalb von OpenSSL als ASN1_STRING-Strukturen abgelegt.

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    07.-09.11.2022, virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    07.-10.11.2022, virtuell
Weitere IT-Trainings

ASN.1-Strings sind ganz normale, mit einem NUL-Byte terminierte Strings, während ASN1_STRING-Strukturen den String als Zeichenfolge und die Länge des Strings enthalten. Hier war es nicht sicher gestellt, dass die Zeichenfolgen in den ASN1_STRING-Strukturen inklusive dem NUL-Byte abgelegt waren. Wenn das NUL-Byte fehlt, wird ein ASN.1-String ausgelesen, bis zufällig eines kommt - so können dann zum Beispiel aus Versehen geheime Daten wie Private Keys ausgegeben werden, sollten sie im Speicher direkt anschließend an die Zeichenkette abgelegt sein.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Diese zweite Lücke war auch in der OpenSSL-Linie 1.0.2 vorhanden; auch für diese Versionsreihe steht ein Update in der Version OpenSSL 1.0.2za zur Verfügung. Der schwerwiegendere Fehler konnte in der 1.0.2-Reihe allerdings nicht auftreten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Wissensbasis
Wikipedia braucht eine neue Dimension

Manch ein Artikel auf Wikipedia ist so schwer zu verstehen, dass man sich nur noch einen einzigen Link wünscht: "Erklär es mir einfacher."
Ein IMHO von Boris Mayer

Wissensbasis: Wikipedia braucht eine neue Dimension
Artikel
  1. Flexpoint, Bfloat16, TensorFloat32, FP8: Dank KI zu neuen Gleitkommazahlen
    Flexpoint, Bfloat16, TensorFloat32, FP8
    Dank KI zu neuen Gleitkommazahlen

    Die Dominanz der KI-Forschung bringt die Gleitkommazahlen erstmals seit Jahrzehnten wieder durcheinander. Darauf muss auch die Hardware-Industrie reagieren.
    Von Sebastian Grüner

  2. Apple Watch 8 im Test: Eine Smartwatch für wirklich alle Fälle
    Apple Watch 8 im Test
    Eine Smartwatch für wirklich alle Fälle

    Die Apple Watch 8 sieht aus wie ihre Vorgängerin, im Test zeigt sich auch der Funktionsumfang sehr ähnlich. Es gibt aber interessante neue Sensoren.
    Ein Test von Tobias Költzsch

  3. Onlinesuche: Google bringt Neuerungen für Suche und Maps
    Onlinesuche
    Google bringt Neuerungen für Suche und Maps

    Die Google-Suche bekommt in Deutschland unter anderem die Kombi-Suche, bei Maps wird eine Highlights-Funktion eingeführt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek nur noch heute • Xbox Series S + FIFA 23 259€ • MindStar (Mega Fastro SSD 1TB 69€, KF DDR5-6000 32GB Kit 229€) • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ • Alternate (Be Quiet Tower-Gehäuse 89,90€) • PS5-Controller GoW Ragnarök Limited Edition vorbestellbar [Werbung]
    •  /