Original-URL des Artikels: https://www.golem.de/0309/27700.html    Veröffentlicht: 30.09.2003 16:41    Kurz-URL: https://glm.io/27700

Sicherheitslücken in OpenSSL

Neue OpenSSL-Versionen schaffen Abhilfe

Einige jetzt entdeckte Sicherheitslücken in OpenSSL könnten es Angreifern erlauben, auf betroffenen Systemen beliebigen Code auszuführen. Zwar existiert offenbar noch keine Exploit für die Sicherheitslücken, ein Update auf die neuen Versionen Open SSL 0.9.6k bzw. 0.9.7c ist aber dennoch anzuraten.

Die Probleme, die zu den Sicherheitslücken führen, liegen im Parsen von Zertifikaten im Abstract Syntax Notation (ASN.1) sowie in der OpenSSl-Implementierung des SSL/TLS-Protokolls. Insgesamt geht es dabei um vier Sicherheitslücken, die in OpenSSL 0.9.7 bis einschließlich zur Version 0.9.7b sowie bis auf eine Ausnahme auch im älteren OpenSSL 0.9.6 bis einschließlich zur Version 0.9.6j enthalten sind. Entdeckt wurden sie mit Hilfe einer Test-Suite von NISCC.

Abhilfe schaffen die neuen Versionen 0.9.6k bz. 0.9.7c, die über die Website des OpenSSL-Teams zum Download bereitstehen.  (ji)


© 1997–2019 Golem.de, https://www.golem.de/