Abo
  • Services:
Anzeige
Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update
Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update (Bild: martinak15 / Wikimedia Commons / CC by 2.0)

Sicherheitslücken: OpenSSL-Update verursacht ABI-Probleme

Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update
Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update (Bild: martinak15 / Wikimedia Commons / CC by 2.0)

OpenSSL veröffentlicht Updates für kleinere Sicherheitslücken - dabei ist den Entwicklern ein Fehler unterlaufen: Durch eine veränderte Datenstruktur ändert sich die Binärschnittstelle der Bibliothek, was zu Fehlfunktionen führen kann.

Anzeige

OpenSSL hat für mehrere Versionszweige seiner Software neue Versionen veröffentlicht. Die aktuellste Version ist nun 1.0.2b, auch für ältere Versionszweige wurden Updates herausgegeben. Das Security-Advisory listet sieben Sicherheitslücken, die mit diesem Update behoben worden sind. Kritische Lücken sind nicht darunter, am relevantesten ist ein Workaround für die Logjam-Lücke.

Geänderte Datenstruktur bricht ABI

Administratoren, die das Update besonders schnell eingespielt haben, bekommen möglicherweise Probleme. Wenige Stunden nach der Veröffentlichung meldete sich der Programmierer Dan McDonald auf der OpenSSL-Entwickler-Mailing-Liste und wies auf ein Problem hin: Die neuen Versionen ändern die Datenstruktur HMAC_CTX, die Teil der öffentlichen API von OpenSSL ist.

Eine solche veränderte Datenstruktur ist nichts Ungewöhnliches, allerdings führt man derartige Änderungen üblicherweise nur bei großen Versionssprüngen durch. Das Problem: Durch diese Änderung verändert sich die Binärschnittstelle der OpenSSL-Bibliothek, die sogenannte ABI.

Um Probleme mit ABI-Änderungen zu vermeiden, wird bei solchen großen Versionssprüngen üblicherweise die Versionsnummer im Dateinamen der Bibliothek geändert, aus libssl.so.1.0.0 könnte beispielsweise libssl.so.1.0.1 werden. In diesem Fall ist das aber nicht geschehen. Alle Programme, die eine Bibliothek verwenden, müssen bei einer ABI-Umstellung neu kompiliert werden.

ABI-Änderungen innerhalb eines Versionszweigs ein No-Go

Nutzt man ein Programm, das mit der alten ABI von OpenSSL kompiliert wurde, kann es mit der neuen Version zu Fehlfunktionen kommen. Probleme könnten etwa Nutzer von älteren OpenSSH-Versionen bekommen. OpenSSH 6.6 und neuer nutzen allerdings eine eigene HMAC-Implementierung, dadurch tauchen hier keine Probleme auf.

OpenSSL-Entwickler Matt Caswell schrieb, das Entwicklerteam berate gerade, wie sie mit der Sache umgingen. Eigentlich sind ABI-Änderungen innerhalb eines Versionszweiges laut Caswell ein No-Go. Absichtlich erfolgte die Änderung daher wohl nicht.

Logjam-Workaround und kleinere Sicherheitsfixes

Die Sicherheitsfixes in der neuen Version sind überwiegend unspektakulär. Die Logjam-Lücke im Diffie-Hellman-Schlüsselaustausch ist ein Protokollproblem und kein Fehler von OpenSSL, aber um Probleme zu vermeiden, wurde in OpenSSL eine Mindestgröße für den sogenannten Modulus von Diffie Hellman eingeführt. Dieser muss jetzt mindestens 768 Bit groß sein, später soll dieses Minimum auf 1024 Bit angehoben werden.

Weiterhin wurde eine Endlosschleife in der Verarbeitung der Parameter von elliptischen Kurven gefunden. Ein Angreifer kann damit die Systemauslastung eines Servers oder Clients in die Höhe treiben. Ein ungültiger Speicher-Lesezugriff in der Funktion X509_cmp_time wurde unabhängig voneinander von Google-Mitarbeiter Robert Swiecki und vom Autor dieses Artikels entdeckt.

Die Google-Mitarbeiterin Emilia Käsper fand eine Race-Condition im Code zur Verwaltung von TLS-Session-Tickets, die zu einem Double-Free-Fehler führen kann. Daneben fanden sich noch eine Reihe von sicherheitskritischen Fehlern in seltener genutzten Protokollen wie DTLS, CMS und PKCS #7.

Nachtrag vom 12. Juni 2015, 17:59 Uhr

Inzwischen hat OpenSSL die Versionen 1.0.2c und 1.0.1o veröffentlicht, die Änderung der ABI wird darin wieder rückgängig gemacht. Nutzer sollten bevorzugt auf diese Versionen aktualisieren.


eye home zur Startseite
GodsBoss 16. Jun 2015

Andere wiederum urteilen über Menschen, über die sie nichts wissen und schreiben ihnen...



Anzeige

Stellenmarkt
  1. Daimler AG, Gaggenau
  2. T-Systems International GmbH, verschiedene Standorte
  3. Daimler AG, Leinfelden-Echterdingen
  4. M-net Telekommunikations GmbH, Nürnberg


Anzeige
Hardware-Angebote
  1. beim Kauf einer Geforce GTX 1070/1080

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Supercomputer

    Der erste Exaflop-Rechner wird in China gebaut

  2. Thomas de Maizière

    Doch keine Vorratsdatenspeicherung für Whatsapp

  3. Automatisierung

    Europaparlament fordert Roboterregeln

  4. Elitebook 810 Revolve G3

    HP gibt die klassischen Convertible-Notebooks auf

  5. Connected Modular

    Tag Heuers neue Smartwatch soll hybrid sein

  6. Megaupload

    Kim Dotcom kann in die USA abgeschoben werden

  7. Rechentechnik

    Ein Bauplan für einen Quantencomputer

  8. Roborace

    Roboterrennwagen bei Testlauf verunglückt

  9. Realface

    Apple kauft israelischen Gesichtserkennungsspezialisten

  10. Chevrolet Bolt

    GM plant Tests mit Tausenden von autonomen Elektroautos



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Prey angespielt: Das Monster aus der Kaffeetasse
Prey angespielt
Das Monster aus der Kaffeetasse
  1. Bethesda Softworks Prey bedroht die Welt im Mai 2017
  2. Ausblicke Abenteuer in Andromeda und Galaxy

Autonomes Fahren: Die Ära der Kooperitis
Autonomes Fahren
Die Ära der Kooperitis
  1. Neue Bedienungssysteme im Auto Es kribbelt in den Fingern
  2. Amazon Alexa im Auto, im Kinderzimmer und im Kühlschrank
  3. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden

Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

  1. Und es gibt nicht mal Alternativen zu DE...

    Graveangel | 12:02

  2. Re: Er wollte es doch so

    Apfelbrot | 12:02

  3. Re: abgeschoben oder ausgeliefert?

    FrankRopen | 12:01

  4. Re: Wird ja auch mal Zeit

    nmSteven | 12:01

  5. Re: Verbrennen, in die Luft sprengen...

    cepe | 12:00


  1. 11:59

  2. 11:40

  3. 11:27

  4. 11:26

  5. 10:29

  6. 10:13

  7. 09:07

  8. 07:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel