You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1152

[Generic/OpenSSL] Mehrere Schwachstellen in OpenSSL
(2003-10-03 19:50:31.627136+00) Druckversion

Quelle: http://www.uniras.gov.uk/vuls/2003/006489/openssl.htm

Eine Schwachstelle in den OpenSSL-Bibliotheken ermöglicht einem Angreifer die Ausführung beliebigen Programmcodes mit den Privilegien des benutzenden Prozesses, zwei weitere Schwachstellen können dazu führen, daß das SSL-System in einen unbenutzbaren Zustand gerät.

Betroffene Systeme
Systeme die SSL/TLS-Funktionalitäten unter Verwendung folgender Bibliotheken zur Verfügung stellen:

  • alle OpenSSL-Versionen bis inklusive 0.9.6j
  • alle OpenSSL-Versionen bis inklusive 0.9.7b
  • alle Versionen von SSLeay
Unter anderem werden diese Bibliotheken verwendet in:

Nicht betroffene Systeme
Systeme die SSL/TLS-Funktionalitäten unter Verwendung folgender Bibliotheken zur Verfügung stellen:

  • OpenSSL 0.9.7c
  • OpenSSL 0.9.6k
  • Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor

  1. Senden speziell formulierter ASN.1-Kodierungen an ein verarbeitendes System
  2. Verarbeitung eines ungültigen öffentlichen Schlüssels
  3. Senden speziell formulierter ASN.1-Kodierungen an ein verarbeitendes System

Auswirkung

  1. nicht Verfügbarkeit der SSL/TLS-Dienste (Denial of Service)
  2. nicht Verfügbarkeit der SSL/TLS-Dienste (Denial of Service)
  3. Ausführung beliebigen Programmcodes mit den Privilegien des SSL/TLS-Prozesses
    (mindestens remote user compromise)

Typ der Verwundbarkeit

  1. buffer overflow bug
  2. unbekannt
  3. double-free bug

Gefahrenpotential

  1. mittel
  2. mittel
  3. hoch bis sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
OpenSSL ist eine Bibliothek zur Implementierung von SSL/TLS-Funktionalität in Applikationen, die starke Verschlüsselung und Authetifizierung benötigen.

OpenSSL verarbeitet Zertifikate nach dem X.509-Standard. Bei der Übertragung von Zertifikaten über Netzwerkverbindungen werden diese in der Abstract Syntax Notation One (ASN.1) kodiert. Zur Verarbeitung auf der empfangenden Seite, wird die ASN.1-Kodierung syntaktisch analysiert (parsed) und wieder in eine andere Darstellung übersetzt.

Beschreibung

  1. Die Verarbeitung eines speziell formulierten ASN.1-Tags kann den verarbeitende Prozeß dazu provozieren, aus einem ihm nicht zugeweisenen Speicherbereich zu lesen. Dies kann dazu führen, daß das OpenSSL-System in einen nicht mehr benutzbaren Zustand gerät und SSL/TLS-Dienste nicht mehr zur Verfügung stehen.
  2. Bei der Verifizierung eines speziell formulierten öffentlichen Schlüssels in einem Client-Zertifikat kann es zu einem Absturz des Verifizierungsprogramms kommen, wenn es so konfiguriert ist, Parsing-Fehler zu ignorieren. Dies kann dazu führen, daß das OpenSSL-System in einen nicht mehr benutzbaren Zustand gerät und SSL/TLS-Dienste nicht mehr zur Verfügung stehen. Üblicherweise wird eine solche Konfiguration nur für Debuggingzwecke benutzt und sollte nicht in Produktionssystemen eingesetzt werden
  3. Die Behandlung spezieller ASN.1-Kodierungen, die normalerweise vom ASN.1-Parser als ungültig zurückgewiesen werden, wird unter Umständen nicht korrekt abgeschlossen. Bei der Speicherfreigabe kann es zu einer Korrumpierung des Stack kommen, so daß die Progammfortsetzung gestört wird. Eine erfolgreiche Ausnutzung dieser Schwachstelle ermöglicht einem Angreifer die Ausführung beliebigen Programmcodes mit den Privilegien des die OpenSSL-Bibliotheken benutzenden Prozesses. Je nach Anwendung kann dies zur Privilegienerweiterung bis hin zur Kompromittierung des beherbergenden Rechnersystems führen.
Ein Fehler in der SSL/TLS-Protokollverarbeitung führt dazu, daß Client-Zertifikate auch dann parsed werden, wenn die Anwendung keines angefordert hat. Zertifikate werden in jedem Fall parsed, wenn Sie an einen Server geschickt werden. Dieses, normalerweise harmlose, Verhalten führt zusammen mit den o.b. Schwachstellen dazu, daß auch Systeme, die keine Client-Authentifizierung durchführen, in o. b. Weise angegriffen werden können. Dies betrifft beispielsweise Webserver, die nicht authentifizierte SSL/TLS-Verbindungen (HTTPS) anbieten.

Gegenmaßnahmen
Installation einer nicht verwundbaren OpenSSL-Version

Vulnerability ID

  1. CAN-2003-0543 sowie CAN-2003-0544
  2. Bisher wurde keine ID vergeben
  3. CAN-2003-0545

Exploit Code

  • Derzeit ist nicht bekannt, ob funktionierender Exploit Code existiert

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.