Alert!

Zwei Sicherheitslücken in LibreSSL gestopft

Über einen Umweg haben Sicherheitsforscher Schwachstellen in LibreSSL gefunden. Die Version in OpenBSD 5.8 soll bereits gefixt sein.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 50 Beiträge
Zwei Sicherheitslücken in LibreSSL gestopft
Von
  • Dennis Schirrmacher

In LibreSSL klaffen bis hin zur aktuellen Version 2.3.0 zwei Sicherheitslücken, warnen Kryptologen von Qualys. Im am vergangenen Wochenende erschienenen OpenBSD 5.8 soll die enthaltene LibreSSL-Version bereits gefixt sein. Auf der offiziellen Seite steht noch die verwundbare Version zum Download.

Eigentlich haben die Sicherheitsforscher die E-Mail-Implementierung OpenSMTPD auf Speicherlecks zum Ausführen von Schadcode abgeklopft, wurden jedoch nicht fündig. Die Untersuchung verschiedener Bibliotheken förderte wiederum ein Speicherleck in LibreSSL (CVE-2015-5333) zutage.

Das Leck klaffe in der OBJ_obj2txt()-Funktion, die im Zuge eines SSL-Handshakes beim Entschlüsseln von X.509-Zertifikaten zum Einsatz kommt. Über die Lücke sollen Angreifer eine DoS-Attacke ausführen und zudem einen Pufferüberlauf (CVE-2015-5334) zum Ausführen von eigenem Code provozieren können.

Den Sicherheitsforschern zufolge ist der Pufferüberlauf unter OpenBSD x86 vermutlich nicht ausführbar. OpenSSL soll die beiden Schwachstellen nicht aufweisen.

[UPDATE, 19.10.2015 16:40 Uhr]

Bezeichnung OpenBSD angepasst (des)