Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1162

[MS/OpenSSL] Schwachstelle in OpenSSL 0.9.6k unter Microsoft Windows
(2003-11-05 22:07:33.773661+01) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/uniras/2003/11/msg00002.html

In der erst kürzlich zur Behebung von diversen Problemen veröffentlichten Version OpenSSL 0.9.6k ist eine weitere Schwachstelle entdeckt worden, die dazu ausgenutzt werden kann, den OpenSSL-Dienst unter Microsoft Windows in einen unbenutzbaren Zustand zu bringen.

Betroffene Systeme

  • OpenSSL 0.9.6k, nach derzeitigem Kenntnisstand nur unter Microsoft Windows

Nicht betroffene Systeme

  • OpenSSL 0.9.7
  • OpenSSL 0.9.6k auf Nicht-Microsoft-Windows-Plattformen
  • Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor
Senden speziell formulierter ASN.1-Kodierungen an ein verarbeitendes System

Auswirkung
Nichtverfügbarkeit des SSL-Dienstes auf dem beherbergenden Rechnersystem
Denial of Service (DoS)

Typ der Verwundbarkeit
unbekannt

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
OpenSSL ist eine Bibliothek zur Implementierung von SSL/TLS-Funktionalität in Applikationen, die starke Verschlüsselung und Authentifizierung benötigen.

OpenSSL verarbeitet Zertifikate nach dem X.509-Standard. Bei der Übertragung von Zertifikaten über Netzwerkverbindungen werden diese in der Abstract Syntax Notation One (ASN.1) kodiert. Zur Verarbeitung auf der empfangenden Seite, wird die ASN.1-Codierung syntaktisch analysiert (parsed) und wieder in eine andere Darstellung übersetzt.

Beschreibung
Ein Fehler in der Verarbeitung von ASN.1-kodierten SSL/TLS-Daten kann dazu führen, daß der Prozeß eine besonders tiefe Rekursion durchführt. Eine solche Rekursion wird auf Microsoft Windows Plattformen nicht ressourcensparend vorgenommen, so daß der Prozeß in einen unbenutzbaren Zustand geraten kann und SSL/TLS-Dienste nicht weiter verfügbar sind.

Nach derzeitigem Kenntnisstand wirkt sich dieser Fehler nur auf Microsoft-Windows-Plattformen derart aus.

Der in OpenSSL 0.9.6j und früher vorhandene Fehler in der SSL/TLS-Protokollverarbeitung, der dazu führte, daß Client-Zertifikate auch dann parsed werden, wenn die Anwendung keines angefordert hat, wurde in 0.9.6k behoben. Die in dieser Meldung beschriebene Schwachstelle kann daher nur auf Systemen ausgenutzt werden, die für die Annahme und Verarbeitung von Client-Zertifikaten konfiguriert sind.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2014 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.