Abo
  • Services:
Anzeige
Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update
Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update (Bild: martinak15 / Wikimedia Commons / CC by 2.0)

Sicherheitslücken: OpenSSL-Update verursacht ABI-Probleme

Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update
Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update (Bild: martinak15 / Wikimedia Commons / CC by 2.0)

OpenSSL veröffentlicht Updates für kleinere Sicherheitslücken - dabei ist den Entwicklern ein Fehler unterlaufen: Durch eine veränderte Datenstruktur ändert sich die Binärschnittstelle der Bibliothek, was zu Fehlfunktionen führen kann.

Anzeige

OpenSSL hat für mehrere Versionszweige seiner Software neue Versionen veröffentlicht. Die aktuellste Version ist nun 1.0.2b, auch für ältere Versionszweige wurden Updates herausgegeben. Das Security-Advisory listet sieben Sicherheitslücken, die mit diesem Update behoben worden sind. Kritische Lücken sind nicht darunter, am relevantesten ist ein Workaround für die Logjam-Lücke.

Geänderte Datenstruktur bricht ABI

Administratoren, die das Update besonders schnell eingespielt haben, bekommen möglicherweise Probleme. Wenige Stunden nach der Veröffentlichung meldete sich der Programmierer Dan McDonald auf der OpenSSL-Entwickler-Mailing-Liste und wies auf ein Problem hin: Die neuen Versionen ändern die Datenstruktur HMAC_CTX, die Teil der öffentlichen API von OpenSSL ist.

Eine solche veränderte Datenstruktur ist nichts Ungewöhnliches, allerdings führt man derartige Änderungen üblicherweise nur bei großen Versionssprüngen durch. Das Problem: Durch diese Änderung verändert sich die Binärschnittstelle der OpenSSL-Bibliothek, die sogenannte ABI.

Um Probleme mit ABI-Änderungen zu vermeiden, wird bei solchen großen Versionssprüngen üblicherweise die Versionsnummer im Dateinamen der Bibliothek geändert, aus libssl.so.1.0.0 könnte beispielsweise libssl.so.1.0.1 werden. In diesem Fall ist das aber nicht geschehen. Alle Programme, die eine Bibliothek verwenden, müssen bei einer ABI-Umstellung neu kompiliert werden.

ABI-Änderungen innerhalb eines Versionszweigs ein No-Go

Nutzt man ein Programm, das mit der alten ABI von OpenSSL kompiliert wurde, kann es mit der neuen Version zu Fehlfunktionen kommen. Probleme könnten etwa Nutzer von älteren OpenSSH-Versionen bekommen. OpenSSH 6.6 und neuer nutzen allerdings eine eigene HMAC-Implementierung, dadurch tauchen hier keine Probleme auf.

OpenSSL-Entwickler Matt Caswell schrieb, das Entwicklerteam berate gerade, wie sie mit der Sache umgingen. Eigentlich sind ABI-Änderungen innerhalb eines Versionszweiges laut Caswell ein No-Go. Absichtlich erfolgte die Änderung daher wohl nicht.

Logjam-Workaround und kleinere Sicherheitsfixes

Die Sicherheitsfixes in der neuen Version sind überwiegend unspektakulär. Die Logjam-Lücke im Diffie-Hellman-Schlüsselaustausch ist ein Protokollproblem und kein Fehler von OpenSSL, aber um Probleme zu vermeiden, wurde in OpenSSL eine Mindestgröße für den sogenannten Modulus von Diffie Hellman eingeführt. Dieser muss jetzt mindestens 768 Bit groß sein, später soll dieses Minimum auf 1024 Bit angehoben werden.

Weiterhin wurde eine Endlosschleife in der Verarbeitung der Parameter von elliptischen Kurven gefunden. Ein Angreifer kann damit die Systemauslastung eines Servers oder Clients in die Höhe treiben. Ein ungültiger Speicher-Lesezugriff in der Funktion X509_cmp_time wurde unabhängig voneinander von Google-Mitarbeiter Robert Swiecki und vom Autor dieses Artikels entdeckt.

Die Google-Mitarbeiterin Emilia Käsper fand eine Race-Condition im Code zur Verwaltung von TLS-Session-Tickets, die zu einem Double-Free-Fehler führen kann. Daneben fanden sich noch eine Reihe von sicherheitskritischen Fehlern in seltener genutzten Protokollen wie DTLS, CMS und PKCS #7.

Nachtrag vom 12. Juni 2015, 17:59 Uhr

Inzwischen hat OpenSSL die Versionen 1.0.2c und 1.0.1o veröffentlicht, die Änderung der ABI wird darin wieder rückgängig gemacht. Nutzer sollten bevorzugt auf diese Versionen aktualisieren.


eye home zur Startseite
GodsBoss 16. Jun 2015

Andere wiederum urteilen über Menschen, über die sie nichts wissen und schreiben ihnen...



Anzeige

Stellenmarkt
  1. PHOENIX CONTACT GmbH & Co. KG, Blomberg
  2. censhare AG, München
  3. TenneT TSO GmbH, Bayreuth
  4. SEW-EURODRIVE GmbH & Co KG, Heidesheim


Anzeige
Spiele-Angebote
  1. 99,99€ mit Vorbesteller-Preisgarantie
  2. 0,99€
  3. 24,99€

Folgen Sie uns
       


  1. Quartalsbericht

    Microsoft kann Gewinn durch Cloud mehr als verdoppeln

  2. Mobilfunk

    Leistungsfähigkeit der 5G-Luftschnittstelle wird überschätzt

  3. Drogenhandel

    Weltweit größter Darknet-Marktplatz Alphabay ausgehoben

  4. Xcom-2-Erweiterung angespielt

    Untote und unbegrenzte Schussfreigabe

  5. Niantic

    Das erste legendäre Monster schlüpft demnächst in Pokémon Go

  6. Bundestrojaner

    BKA will bald Messengerdienste hacken können

  7. IETF

    DNS wird sicher, aber erst später

  8. Dokumentation zum Tor-Netzwerk

    Unaufgeregte Töne inmitten des Geschreis

  9. Patentklage

    Qualcomm will iPhone-Importstopp in Deutschland

  10. Telekom

    Wie viele Bundesfördermittel gehen ins Vectoring?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Moto Z2 Play im Test: Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
Moto Z2 Play im Test
Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
  1. Modulares Smartphone Moto Z2 Play kostet mit Lautsprecher-Mod 520 Euro
  2. Lenovo Hochleistungs-Akku-Mod für Moto Z
  3. Moto Z Schiebetastatur-Mod hat Finanzierungsziel erreicht

Razer Lancehead im Test: Drahtlose Symmetrie mit Laser
Razer Lancehead im Test
Drahtlose Symmetrie mit Laser
  1. Razer Blade Stealth 13,3- statt 12,5-Zoll-Panel im gleichen Gehäuse
  2. Razer Core im Test Grafikbox + Ultrabook = Gaming-System
  3. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

  1. Re: ÖR vs. private

    Pjörn | 04:44

  2. Re: Wurde überhaupt schon jemand damit infiziert?

    Pjörn | 04:30

  3. Re: Wer?

    Frotty | 03:57

  4. Re: Lohnt das

    Pjörn | 03:43

  5. Die Forschung verstehe ich nicht ganz.

    mrgenie | 03:41


  1. 23:50

  2. 19:00

  3. 18:52

  4. 18:38

  5. 18:30

  6. 17:31

  7. 17:19

  8. 16:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel