Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1734

[Generic/OpenSSL] Schwachstelle in OpenSSL
(2015-07-09 14:23:50.342422+00)

Quelle: https://www.openssl.org/news/secadv_20150709.txt

Eine Schwachstelle in OpenSSL der Versionen OpenSSL 1.0.2b, 1.0.2c, 1.0.1n und 1.0.1o kann dazu führen, dass Zertifikatsketten nicht ordnungsgemäß geprüft werden und ungültige Zertifikate als vertrauenswürdig aktzeptiert werden. Es wird dringend empfohlen betroffene Versionen auf OpenSSL 1.0.1p bzw. 1.0.2d zu aktualisieren, falls noch nicht geschehen. Aktuelle Linux-Distributionen sollten bereits die nicht mehr betroffenen Versionen enthalten.

Inhalt

Zusammenfassung

Beschreibung

Ein Implementierungsfehler des Prozesses der Verifizierung von Zertifikatketten, kann dazu führen, dass Zertifikate als vertrauenswürdig eingestuft werden, die nicht durch eine gültige Zertifikatskette bestätigt sind.

Wenn die Überprüfung einer Zertifikatskette fehlschlägt, versucht OpenSSL eine alternative Zertifikatskette aufzubauen, um ein Zertifikat zu verifizieren. Ein Fehler in den entsprechenden Routinen kann dazu ausgenutzt werden, OpenSSL zu veranlassen, bestimmte Erweiterungen, wie zB das "CA"-Flag nicht zu beachten und so z.B. gültige Server- oder Benutzerzertifikate als CA-Zertifikat einzustufen und von diesen signierte Schlüssel als gültige Zertifikate zu akzeptieren. Ein Angreifer, der ein solches Server- oder Benutzerzertifikat besitzt, kann so akzeptierte Zertifikate für beliebiger Server oder Benutzer ausstellen und z.B. Phishing Sites mit einem vermeintlich vertrauenswürdigen Zertifikat ausstatten.

Workaround

Gegenmaßnahmen

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1734