|
|
 |
|
|
|
| Weitere Schwachstellen in OpenSSL |
|
In OpenSSL sind zwei Schwachstellen enthalten, mit denen ein Angreifer über das Netzwerk den Dienst zum Absturz bringen kann. Angreifer können beide Fehler mit manipulierten SSL/TLS-Paketen provozieren. Je nach Applikation führt der Absturz von OpenSSL zu einem Denial-of-Service. Die OpenSSL-Bibliotheken ermöglichen die Verschlüsselung von Verbindungen für Web, E-Mail und andere (Internet-)Dienste, das Open-Source-Paket wird von vielen Produkten und Systemen genutzt.
Der erste Fehler findet sich in der Funktion do_change_cipher_spec(), die OpenSSL beim SSL-Handshake einsetzt. Betroffen sind die Versionen 0.9.6.c bis einschließlich 0.9.6k, sowie 0.9.7a bis einschließlich 0.9.7c. Der zweite Fehler befindet sich in einer Handshake-Funktion zur Aushandlung von Kerberos-Parametern, allerdings verwenden die wenigsten Applikationen den Authentifizierungs-Dienst Kerberos. Betroffen sind hier 0.9.7a bis einschließlich 0.9.7c. Die Entwickler von OpenSSL empfehlen auf die Versionen 0.9.7d oder 0.9.6m zu wechseln.
Während eines Tests haben die Entwickler von OpenSSL einen weiteren Fehler in 0.9.6-Versionen entdeckt, der ebenfalls zum Absturz führen kann. Allerdings ist die Lücke seit 0.9.6d behoben, weshalb die Schwachstelle im OpenSSL-Advisory nicht explizit aufgeführt ist (siehe dazu das Advisory des NISCC). Die meisten Linux-Distributoren haben bereits neue OpenSSL-Pakete zur Verfügung gestellt, ebenso wie die Teams von OpenBSD und FreeBSD. Cisco weist in einem eigenen Advisory auf seine verwundbaren Produkte hin.
|
|
|
|
|
|
|
|
|
|
|
|
|
