Sicherheit: OpenSSL behebt Fehler im ASN1-Parser

Ein bereits verfügbares Update schließt eine Sicherheitslücke in OpenSSL. Durch fehlerhaftes Auslesen von Zertifikaten durch den ASN1-Parser entsteht ein Speicherfehler, über den womöglich Code eingeschleust werden kann.

Artikel veröffentlicht am ,
Updates beheben einen Fehler in OpenSSL.
Updates beheben einen Fehler in OpenSSL. (Bild: OpenSSL)

Der Entwickler und Google-Mitarbeiter Tavis Ormandy hat auf einen Fehler im ASN1-Parser in OpenSSL hingewiesen. Durch das fehlerhafte Auslesen von X.509-Zertifikaten oder RSA-Schlüsseln können nicht näher benannte Speicherfehler entstehen. Laut einer offiziellen Mitteilung des OpenSSL-Teams tritt der Fehler in den Funktionen d2i_*_bio oder d2i_*_fp auf.

Stellenmarkt
  1. IT-Projektleiter / Data Warehouse Architect (m/w/d)
    Statistisches Landesamt Rheinland-Pfalz, Bad Ems
  2. Projektplaner (m/w/d)
    TenneT TSO GmbH, Bayreuth
Detailsuche

Die Sicherheitslücke wirkt sich aber nicht auf den SSL/TLS-Code in OpenSSL aus, der auf die Funktionen d2i_X509 oder d2i_PKCS12 zugreift. Auch Anwendungen, die auf die PEM-Routinen von OpenSSL zugreifen, sind nicht betroffen. Applikationen, die den Parser SMIME_read_PKCS7 oder SMIME_read_CMS nutzen, sind hingegen gefährdet.

Inzwischen wurde der Fehler behoben. Das OpenSSL-Team hat dazu folgende Updates veröffentlicht: 1.0.1a, 1.0.0i und 0.9.8v, die allesamt über die Webseite des Projekts heruntergeladen werden können. Einige Distributoren haben bereits reagiert. Updates für Ubuntu und OpenBSD sind seit einigen Stunden verfügbar. Für Red Hat und Fedora dürften Patches in wenigen Stunden verfügbar sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
25 Jahre Dungeon Keeper
Wir sind wieder richtig böse!

Nicht Held, sondern Monster: Darum geht's in Dungeon Keeper von Peter Molyneux. Golem.de hat neu gespielt - und einen bösen Bug gefunden.
Von Andreas Altenheimer

25 Jahre Dungeon Keeper: Wir sind wieder richtig böse!
Artikel
  1. bZ4X: Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an
    bZ4X
    Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an

    Toyota bietet Kunden den Rückkauf seiner Elektro-SUVs an, nachdem diese im Juni wegen loser Radnabenschrauben zurückgerufen wurden.

  2. Laptops: Vom Bastel-Linux zum heimlichen Liebling der Entwickler
    Laptops
    Vom Bastel-Linux zum heimlichen Liebling der Entwickler

    Noch vor einem Jahrzehnt gab es kaum Laptops mit vorinstalliertem Linux. Inzwischen liefern das aber sogar die drei weltgrößten Hersteller - ein überraschender Siegeszug.

  3. SMS: Lindner bat Porsche-Chef um Argumentationshilfe bei E-Fuels
    SMS
    Lindner bat Porsche-Chef um Argumentationshilfe bei E-Fuels

    Der Bundesfinanzminister hat den Porsche-Chef erst nach der Entscheidung kontaktiert, die Ausnahme für E-Fuels in die EU-Verhandlungen einzubringen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. Samsung 980 1 TB 77€ und ASRock RX 6800 639€ ) • Alternate (u. a. Corsair Vengeance LPX 8 GB DDR4-3200 34,98€ ) • AOC GM200 6,29€ • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1 TB 119€) • Weekend Sale bei Alternate • PDP Victrix Gambit 63,16€ [Werbung]
    •  /