Zwei Sicherheitslücken in LibreSSL gestopft

Über einen Umweg haben Sicherheitsforscher Schwachstellen in LibreSSL gefunden. Die Version in OpenBSD 5.8 soll bereits gefixt sein.

50

19.10.2015, 16:12 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

In LibreSSL klaffen bis hin zur aktuellen Version 2.3.0 zwei Sicherheitslücken, warnen Kryptologen von Qualys. Im am vergangenen Wochenende erschienenen OpenBSD 5.8 soll die enthaltene LibreSSL-Version bereits gefixt sein. Auf der offiziellen Seite steht noch die verwundbare Version zum Download.

Eigentlich haben die Sicherheitsforscher die E-Mail-Implementierung OpenSMTPD auf Speicherlecks zum Ausführen von Schadcode abgeklopft, wurden jedoch nicht fündig. Die Untersuchung verschiedener Bibliotheken förderte wiederum ein Speicherleck in LibreSSL (CVE-2015-5333) zutage.

Das Leck klaffe in der OBJ_obj2txt()-Funktion, die im Zuge eines SSL-Handshakes beim Entschlüsseln von X.509-Zertifikaten zum Einsatz kommt. Über die Lücke sollen Angreifer eine DoS-Attacke ausführen und zudem einen Pufferüberlauf (CVE-2015-5334) zum Ausführen von eigenem Code provozieren können.

Den Sicherheitsforschern zufolge ist der Pufferüberlauf unter OpenBSD x86 vermutlich nicht ausführbar. OpenSSL soll die beiden Schwachstellen nicht aufweisen.

[UPDATE, 19.10.2015 16:40 Uhr]

Bezeichnung OpenBSD angepasst (des)

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Zwei Sicherheitslücken in LibreSSL gestopft

Spiele

5 Monate für nur 5 € lesen.5 Monate für nur 5 € lesen.

Das digitale Abo für IT und Technik.