Sicherheit: OpenSSL behebt Fehler im ASN1-Parser
Der Entwickler und Google-Mitarbeiter Tavis Ormandy(öffnet im neuen Fenster) hat auf einen Fehler im ASN1-Parser in OpenSSL hingewiesen(öffnet im neuen Fenster) . Durch das fehlerhafte Auslesen von X.509-Zertifikaten oder RSA-Schlüsseln können nicht näher benannte Speicherfehler entstehen. Laut einer offiziellen Mitteilung des OpenSSL-Teams(öffnet im neuen Fenster) tritt der Fehler in den Funktionen d2i_*_bio oder d2i_*_fp auf.
Die Sicherheitslücke wirkt sich aber nicht auf den SSL/TLS-Code in OpenSSL aus, der auf die Funktionen d2i_X509 oder d2i_PKCS12 zugreift. Auch Anwendungen, die auf die PEM-Routinen von OpenSSL zugreifen, sind nicht betroffen. Applikationen, die den Parser SMIME_read_PKCS7 oder SMIME_read_CMS nutzen, sind hingegen gefährdet.
Inzwischen wurde der Fehler behoben. Das OpenSSL-Team hat dazu folgende Updates veröffentlicht(öffnet im neuen Fenster) : 1.0.1a, 1.0.0i und 0.9.8v, die allesamt über die Webseite des Projekts heruntergeladen werden können. Einige Distributoren haben bereits reagiert. Updates für Ubuntu(öffnet im neuen Fenster) und OpenBSD(öffnet im neuen Fenster) sind seit einigen Stunden verfügbar. Für Red Hat und Fedora dürften Patches(öffnet im neuen Fenster) in wenigen Stunden verfügbar sein.