Sicherheit: OpenSSL behebt Fehler im ASN1-Parser

Ein bereits verfügbares Update schließt eine Sicherheitslücke in OpenSSL. Durch fehlerhaftes Auslesen von Zertifikaten durch den ASN1-Parser entsteht ein Speicherfehler, über den womöglich Code eingeschleust werden kann.

Artikel veröffentlicht am ,
Updates beheben einen Fehler in OpenSSL.
Updates beheben einen Fehler in OpenSSL. (Bild: OpenSSL)

Der Entwickler und Google-Mitarbeiter Tavis Ormandy hat auf einen Fehler im ASN1-Parser in OpenSSL hingewiesen. Durch das fehlerhafte Auslesen von X.509-Zertifikaten oder RSA-Schlüsseln können nicht näher benannte Speicherfehler entstehen. Laut einer offiziellen Mitteilung des OpenSSL-Teams tritt der Fehler in den Funktionen d2i_*_bio oder d2i_*_fp auf.

Stellenmarkt
  1. IT Projektmanager (m/w/d)
    Fresenius Medical Care, Bad Homburg
  2. IT-Mitarbeiterin (m/w/d)
    Hochschule für Musik und Tanz Köln, Köln
Detailsuche

Die Sicherheitslücke wirkt sich aber nicht auf den SSL/TLS-Code in OpenSSL aus, der auf die Funktionen d2i_X509 oder d2i_PKCS12 zugreift. Auch Anwendungen, die auf die PEM-Routinen von OpenSSL zugreifen, sind nicht betroffen. Applikationen, die den Parser SMIME_read_PKCS7 oder SMIME_read_CMS nutzen, sind hingegen gefährdet.

Inzwischen wurde der Fehler behoben. Das OpenSSL-Team hat dazu folgende Updates veröffentlicht: 1.0.1a, 1.0.0i und 0.9.8v, die allesamt über die Webseite des Projekts heruntergeladen werden können. Einige Distributoren haben bereits reagiert. Updates für Ubuntu und OpenBSD sind seit einigen Stunden verfügbar. Für Red Hat und Fedora dürften Patches in wenigen Stunden verfügbar sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Glasfaser
Berliner Senat blamiert sich mit Gigabitstrategie

Der Berliner Senat ist nach Jahren aus dem Dämmerzustand hochgeschreckt und hat nun eine Gigabitstrategie. Warum haben sie nicht einfach geschwiegen?
Ein IMHO von Achim Sawall

Glasfaser: Berliner Senat blamiert sich mit Gigabitstrategie
Artikel
  1. Razer: Der erste Blade-Laptop mit Ryzen ist da
    Razer
    Der erste Blade-Laptop mit Ryzen ist da

    Wieder 14 Zoll, erstmals mit AMD-Chip: Das neue Razer Blade kombiniert einen 75-Watt-Ryzen mit der flottesten Geforce RTX.
    Ein Hands-on von Marc Sauter

  2. Selbständige: Vodafone mit neuen Tarifen ohne Preissteigerung
    Selbständige
    Vodafone mit neuen Tarifen ohne Preissteigerung

    Vodafone wird seine Preise in neuen Tarifen für Selbständige nach 24 Monaten nicht mehr anheben.

  3. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

lisgoem8 22. Apr 2012

Gibts ja. Aber testing oder unstable... Nicht auf Servern! schluchz


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /