Alert!

OpenSSL behebt Speicherfehler

Ein Update beseitigt einen Null-Pointer-Zugriff, der laut Advisory zum Absturz führen kann.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge
Von
  • Jürgen Schmidt

Das OpenSSL-Team warnt vor einem Sicherheitsproblem der Bibliothek (CVE-2020-1971). Es hat den Schweregrad "hoch" und kann laut dem Security Advisory zu einem Programmabsturz durch einen Null-Pointer-Zugriff führen. Betroffen sind alle Versionen von OpenSSL 1.0.2 und 1.1.1 vor dem fehlerbereinigten OpenSSL 1.1.1i.

Ein Aufruf der Funktion GENERAL_NAME_cmp kann den Fehler auslösen, die zwei X509-Namen vom Typ EDIPARTYNAME vergleicht, erklärt das Advisory des OpenSSL-Teams. Den könnte ein Angreifer auslösen, indem er einen Client oder einen Server mit einem speziell präparierten Zertifikat dazu bringt, dessen Angaben gegen eine bösartige Sperrliste (CRL) abzugleichen.

(ju)