Security: OpenSSL-Update schließt Sicherheitslücken

OpenSSL 1.1.1l schließt zwei Sicherheitslücken, darunter einen mit einer hohen Risikobewertung eingeschätzten Buffer Overflow.

Artikel veröffentlicht am ,
OpenSSL und ein Zaun - bei beiden sind Lücken gar nicht gut.
OpenSSL und ein Zaun - bei beiden sind Lücken gar nicht gut. (Bild: Steffen Voß via flickr/CC-BY-SA 2.0)

Mit der Veröffentlichung von OpenSSL 1.1.1l werden zwei Sicherheitslücken geschlossen. Eine der beiden Lücken wurde als hohes Risiko eingeschätzt, die andere Lücke als mittleres.

Stellenmarkt
  1. Architekt (m/w/d) für den Bereich Identity und Access-Management (IAM)
    Allianz Deutschland AG, München Unterföhring
  2. Senior Mobile Developer (m/f/d)
    IDnow GmbH, Düsseldorf, deutschlandweit (Home-Office)
Detailsuche

Bei dem mit einem hohen Risiko bewerteten Problem CVE-2021-3711 handelt es sich um einen Pufferüberlauf in der Entschlüsselung von mit SM2 verschlüsselten Daten. Angreifer könnten diese Lücke aus der Entfernung ausnutzen, indem sie speziell manipulierte SM2-Inhalte übertragen und so Daten außerhalb des dafür vorgeschriebenen Bereichs überschreiben. Als Folge droht ein Absturz, mit entsprechender Vorbereitung könnte dadurch aber auch eigener Code in die Anwendung eingeschleust und zur Ausführung gebracht werden.

Laut Notiz zu der Lücke auf OpenSSL.org konnten so bis zu 62 Bytes im Heap überschrieben werden.

Die zweite Lücke ist schon länger vorhanden

Auch die mit einem mittleren Risiko bewertete Schwachstelle CVE-2021-3712 basiert auf einem überlaufenden Puffer, diesmal jedoch nur beim Lesen. Hier wurden ASN.1-Strings innerhalb von OpenSSL als ASN1_STRING-Strukturen abgelegt.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

ASN.1-Strings sind ganz normale, mit einem NUL-Byte terminierte Strings, während ASN1_STRING-Strukturen den String als Zeichenfolge und die Länge des Strings enthalten. Hier war es nicht sicher gestellt, dass die Zeichenfolgen in den ASN1_STRING-Strukturen inklusive dem NUL-Byte abgelegt waren. Wenn das NUL-Byte fehlt, wird ein ASN.1-String ausgelesen, bis zufällig eines kommt - so können dann zum Beispiel aus Versehen geheime Daten wie Private Keys ausgegeben werden, sollten sie im Speicher direkt anschließend an die Zeichenkette abgelegt sein.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Diese zweite Lücke war auch in der OpenSSL-Linie 1.0.2 vorhanden; auch für diese Versionsreihe steht ein Update in der Version OpenSSL 1.0.2za zur Verfügung. Der schwerwiegendere Fehler konnte in der 1.0.2-Reihe allerdings nicht auftreten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Powertoys
Microsofts kostenlose Tools, die Windows besser machen

Dateien benennen und Programme von überall starten: Mit den richtigen Tools lässt sich Windows besser bedienen. Wir zeigen die Powertoys.
Von Oliver Nickel

Powertoys: Microsofts kostenlose Tools, die Windows besser machen
Artikel
  1. EFF: HTTPS Everywhere wird nicht mehr gebraucht
    EFF
    HTTPS Everywhere wird nicht mehr gebraucht

    Das Browserplugin HTTPS Everywhere wird nicht weiterentwickelt, stattdessen sollen Nutzer die browsereigenen HTTPS-Only-Modi verwenden.

  2. Mr. Goxx: Hamster handelt mit Kryptowährungen und schlägt Aktienindex
    Mr. Goxx
    Hamster handelt mit Kryptowährungen und schlägt Aktienindex

    Seit Juni 2021 ist der Hamster Mr. Goxx erfolgreich im Handel mit Kryptowährungen.

  3. Neue Alexa-Geräte: Amazon plant Echo Auto 2 und weitere neue Echo-Produkte
    Neue Alexa-Geräte
    Amazon plant Echo Auto 2 und weitere neue Echo-Produkte

    Amazon wird diese Woche neue Echo-Produkte vorstellen. Einige Details zu neuen Alexa-Geräten sind vorab bekanntgeworden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer Nitro 23,8" FHD 165Hz 184,90€ • Nur noch heute: Black Week bei NBB mit bis zu 50% Rabatt • Alternate-Deals (u. a. Cooler Master MH 752 Gaming-Headset 59,90€) • Toshiba Canvio Desktop 6 TB 109€ • Lenovo-Laptops zu Bestpreisen • WISO Steuer-Start 2021 10,39€ [Werbung]
    •  /