Kritische Sicherheitslücke in OpenSSL
Betroffen sind die OpenSSL-Versionen 0.9.6c bis 0.9.6k sowie 0.9.7a bis 0.9.7c. Auf Grund einer Null-Zeiger-Zuordnung in der Funktion do_change_cipher_spec() lässt sich OpenSSL über einen entsprechend präparierten SSL/TLS-Handshake zum Absturz bringen. Daneben kann der Angreifer OpenSSL auch über einen Begrenzungsfehler abschießen, der bei Verwendung der Kerberos-Ciphersuites auftritt. Eine weitere DoS-Lücke weisen bestimmte OpenSSL-0.9.6d-Installationen auf: Ein unlängst erfolgter Bugfix kann eine Endlosschleife verursachen, die OpenSSL ebenfalls aushebelt.
Die betroffenen Systeme müssen umgehend auf OpenSSL 0.9.7d oder 0.9.6m aktualisiert werden. Daneben sind auch alle OpenSSL-Anwendungen neu zu kompilieren, die statisch mit OpenSSL-Libraries gelinkt wurden. Zu den verbreitetsten Applikationen, die OpenSSL nutzen, zählen der Webserver Apache, der FTP-Server Wu-FTPd, der SMB-Server Samba sowie die MTAs Sendmail, Postfix und Qmail. Darüber hinaus stützen sich zahllose weitere Anwendungen sowie eine Vielzahl Linux/Unix-basierter Server- und Webappliances auf OpenSSL ab.
Nähere Informationen zur OpenSSL-Sicherheitslücke und die Download-Adressen der fehlerbereinigten Versionen finden Sie in unseren aktuellen tecCHANNEL-Security-Reports. (jlu)