Ursache ist auch dieses Mal ein Fehler im ASN.1-Parser, der die Analyse der ausgetauschten Zertifikate vornimmt. Bestimmte ASN.1-Sequenzen lösen eine Rekursion aus, die unter Windows zum Absturz von OpenSSL führt. So kann ein Angreifer bei Servern, die eine bidirektionale Authentifizierung vornehmen, über ein entsprechend präpariertes Client-Zertifikat einen Denial of Service (DoS) verursachen.
Der Fehler tritt zwar nicht nur unter Windows auf, lässt sich jedoch nach derzeitigem Wissensstand auf anderen Betriebssystem-Plattformen nicht ausnutzen. Das OpenSSL-Team geht außerdem davon aus, dass über eine DoS-Attacke hinaus keine weiter gehenden Angriffe über diese Lücke möglich sind.
Zur Beseitigung des Fehlers sollten Sie auf OpenSSL 0.9.6l oder 0.9.7c aktualisieren. Zudem müssen alle Anwendungen neu kompiliert werden, die statisch gegen die OpenSSL-Bibliotheken verlinkt sind. (jlu)
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema Open Source |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50% billiger als Buch) |