OpenSSL: Neue DoS-Lücke entdeckt

In OpenSSL wurde zum zweiten Mal innerhalb gut eines Monats eine gravierende Sicherheitslücke entdeckt. Über diese lässt sich der Dienst unter Windows zum Absturz bringen.

Ursache ist auch dieses Mal ein Fehler im ASN.1-Parser, der die Analyse der ausgetauschten Zertifikate vornimmt. Bestimmte ASN.1-Sequenzen lösen eine Rekursion aus, die unter Windows zum Absturz von OpenSSL führt. So kann ein Angreifer bei Servern, die eine bidirektionale Authentifizierung vornehmen, über ein entsprechend präpariertes Client-Zertifikat einen Denial of Service (DoS) verursachen.

Der Fehler tritt zwar nicht nur unter Windows auf, lässt sich jedoch nach derzeitigem Wissensstand auf anderen Betriebssystem-Plattformen nicht ausnutzen. Das OpenSSL-Team geht außerdem davon aus, dass über eine DoS-Attacke hinaus keine weiter gehenden Angriffe über diese Lücke möglich sind.

Zur Beseitigung des Fehlers sollten Sie auf OpenSSL 0.9.6l oder 0.9.7c aktualisieren. Zudem müssen alle Anwendungen neu kompiliert werden, die statisch gegen die OpenSSL-Bibliotheken verlinkt sind. (jlu)

tecCHANNEL Buch-Shop

Literatur zum Thema Open Source

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50% billiger als Buch)

Downloads