News-Meldung vom 30.09.2003 15:55
In einem Security Advisory beschreibt das britische Infrastructure Security Coordination Centre (NISCC) drei Fehler in der Open-Source-Verschlüsselungsbibliothek OpenSSL. Bei der SSL/TLS-Verbindungsaufnahme werden zur Authentifizierung Zertifikate ausgetauscht. Diese Zertifikate sind nach der Abstract Syntax Notation (ASN.1) aufgebaut und enthalten unter anderem die Namen des Austellers (Issuer) und der Eigentümers (Common Name, CN). Manipuliert ein Angreifer bestimmte ASN.1-Elemente, kann er damit den Dienst zum Absturz bringen oder beliebigen Code auf den Stack schreiben und ausführen. Ein Exploit ist derzeit noch nicht bekannt. Betroffen sind alle OpenSSL-Versionen bis einschließlich 0.9.6j und 0.9.7b. Außer bei Web-Servern kommt SSL auch zur Sicherung von IMAP, SMTP und anderen Protokollen zum Einsatz, die von Haus aus keine starke Authentifizierung beziehungsweise Verschlüsselung bieten.
Die OpenSSL-Versionen 0.9.7c und 0.9.6k sollen das Problem beheben, sie stehen auf dem offiziellen FTP-Server von OpenSSL zur Verfügung; die Mirror-FTPs sollten in Kürze ebenfalls die aktuellen Versionen bereitstellen. Red Hat und Apple haben ebenfalls bereits reagiert und stellen aktualisierte Pakete bereit.
Siehe dazu auch:
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-86121
Themen-Forum Schwachstellen
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
