Stabsstelle DV-Sicherheit der
Universit├Ąt Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1654

[Generic/OpenSSL] Schwachstelle in OpenSSL
(2010-11-16 23:34:14.261835+00)

Quelle: http://openssl.org/news/secadv_20101116.txt

Eine Schwachstelle im OpenSSL TLS-Server kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Ein Patch zur Behebung des Problems steht zur Verfügung. Nachdem sehr viele Sicherheitssysteme auf den durch OpenSSL bereitgestellten kryptographischen Funktionalitäten beruhen, wird dringend empfohlen, den Patch bzw. aktualisierte Softwarepakete, die durch Distributoren oder Drittanbieter bereitgestellt werden, zu installieren

Inhalt

Zusammenfassung

Betroffene Systeme

Nicht betroffene Systeme

Plattform

Diese Schwachstelle betrifft alle Plattformen, für die OpenSSL angeboten wird:

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von TLS Extensions der TLS-Server-Funktionalität in der Krypto-Suite OpenSSL kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des TLS-Server-Prozesses ausgeführt. Dies sind im Allgemeinen keine administrativen Privilegen. Sofern dieser Prozess administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Die Schwachstelle tritt nur auf und kann dementsprechend auch nur ausgenutzt werden, sofern auf dem betroffenen TLS-Server das Multi-Threading sowie das interne Caching aktiviert sind.

OpenSSL sowie die durch die Suite bereitgestellte TLS-Server-Funktionalität werden durch zahlreiche Applikationen verwendet und sind sehr verbreitet im Einsatz.

Der Apache HTTP Server ist von dieser Schwachstelle nicht betroffen. Ebenfalls nicht betroffen ist Stunnel.

Workaround

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1654