Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1526

[Generic/OpenSSL] Neue Version OpenSSL behebt mehrere Schwachstellen
(2009-03-28 00:41:31.304304+00) Druckversion

Quelle: http://www.openssl.org/news/secadv_20090325.txt

Drei Schwachstellen in den Routinen zur Verarbeitung von ASN.1-Daten sowie CMS-Nachrichten des Kryptographie-Paketes OpenSSL können von einem Angreifer dazu ausgenutzt werden, den OpenSSL-Prozess (Client, Server oder Applikationen, die OpenSSL verwenden), in einen unbenutzbaren Zustand zu versetzen bzw. potentiell beliebigen Programmcode auf dem beherbergenden System auszuführen oder ungültige Signaturattribute gültig erscheinen zu lassen. OpenSSL 0.9.8k ist verfügbar und behebt die Schwachstellen.

Inhalt

Zusammenfassung

  • CVE-2009-0590:
    Betroffen: OpenSSL 0.9.8j und frühere Versionen
    Nicht betroffen: OpenSSL 0.9.8k
    Einfallstor: ASN.1-Objekt
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: DoS, user comprimise
    Typ: Speicherverletzung
    Gefahrenpotential: mittel bis hoch
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0590
  • CVE-2009-0591:
    Betroffen: OpenSSL 0.9.8j und frühere Versionen
    Nicht betroffen: OpenSSL 0.9.8k
    Einfallstor: CMS-Nachricht
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: Fehlerhafte Auswertung von Attributen
    Typ: Entwurfsfehler
    Gefahrenpotential: mittel
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0591
  • CVE-2009-0789:
    Betroffen: OpenSSL 0.9.8j und frühere Versionen
    Nicht betroffen: OpenSSL 0.9.8k
    Einfallstor: ASN.1-Objekt
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: DoS, user comprimise
    Typ: Speicherverletzung
    Gefahrenpotential: mittel bis hoch
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0789

Betroffene Systeme

  • CVE-2009-0590:
    OpenSSL 0.9.8j und frühere Versionen
  • CVE-2009-0591:
    OpenSSL 0.9.8j und frühere Versionen
  • CVE-2009-0789:
    OpenSSL 0.9.8j und frühere Versionen

Nicht betroffene Systeme

  • CVE-2009-0590:
    OpenSSL 0.9.8k
  • CVE-2009-0591:
    OpenSSL 0.9.8k
  • CVE-2009-0789:
    OpenSSL 0.9.8k

Einfallstor

  • CVE-2009-0590:
    Zertifikatinformation in ASN.1 z.B. über eine Webseite oder eine HTML-E-Mail-Nachricht
  • CVE-2009-0591:
    Nachricht in CMS z.B. über eine Webseite oder eine HTML-E-Mail-Nachricht
  • CVE-2009-0789:
    Zertifikatinformation in ASN.1- z.B. über eine Webseite oder eine HTML-E-Mail-Nachricht

Angriffsvoraussetzung

  • CVE-2009-0590:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu bewegen, entsprechende Zertifikatdaten zu verarbeiten.
    (user interaction)
  • CVE-2009-0591:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu bewegen, entsprechende Zertifikatdaten zu verarbeiten.
    (user interaction)
  • CVE-2009-0789:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu bewegen, entsprechende Zertifikatdaten zu verarbeiten.
    (user interaction)

Angriffsvektorklasse

  • CVE-2009-0590:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2009-0591:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2009-0789:
    über eine Netzwerkverbindung
    (remote)

Auswirkung

  • CVE-2009-0590:
    • Versetzen des betroffenen Systems in einen unbenutzbaren Zustand
      (denial of Service)
    • Potentiell: Ausführung beliebigen Programmcodes auf dem beherbergenden System
      (user compromise)
  • CVE-2009-0591:
    • Fehlerhafte Auswertung von Signaturattributen: ungültige Attribute werden als gültig angesehen
      (other)
  • CVE-2009-0789:
    • Versetzen des betroffenen Systems in einen unbenutzbaren Zustand
      (denial of Service)
    • Potentiell: Ausführung beliebigen Programmcodes auf dem beherbergenden System
      (user compromise)

Typ der Verwundbarkeit

  • CVE-2009-0590:
    Speicherverletzung
    (memory corruption)
  • CVE-2009-0591:
    Speicherverletzung
    (memory corruption)
  • CVE-2009-0789:
    Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • CVE-2009-0590:
    mittel bis hoch
  • CVE-2009-0591:
    mittel
  • CVE-2009-0789:
    mittel bis hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2009-0590:
    Eine Schwachstelle in der Verarbeitung von Daten in Abstract Syntax Notation One (ASN.1) kann von einem Angreifer dazu ausgenutzt werden, OpenSSL bzw. die Anwendung, die OpenSSL verwendet zum Absturz zu bringen. Potentiell ist es möglich, dass der Angreifer beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des OpenSSL-Prozesses, bzw. den Privilegien der OpenSSL verwendenden Anwendung ausführt.

    Die Schwachstelle tritt auf, wenn mit OpenSSL Zertifikatdaten ausgegeben werden, die in ASN.1 vorliegen. Typische Anwendungen, die solche Operationen durchführen sind OpenSSL selbst, OpenSSH, OpenVPN, mod_ssl, S/MIME-Anwendungen und viele mehr.

    Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer entsprechende Daten an ein betroffenes System sendet und einen Benutzer einer verwundbaren Applikation dazu veranlasst, die entsprechende Daten auszugeben.

  • CVE-2009-0591:
    Eine Schwachstelle in der Verarbeitung von Nachrichten in Cryptographic Message Syntax (CMS) kann von einem Angreifer dazu ausgenutzt werden, einem Opfer ungültige Signaturattribute als gültig erscheinen zu lassen.

    Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer entsprechende Daten an ein betroffenes System sendet und einen Benutzer einer verwundbaren Applikation dazu veranlasst, die entsprechende Daten zu verarbeiten. Weiterhin ist es erforderlich, dass der Angreifer im Besitz des privaten Schlüssels des Signierers ist, was die Ausnutzungsmöglichkeiten dieser Schwachstelle stark einschränkt.

  • CVE-2009-0789:
    Eine Schwachstelle in der Verarbeitung von Daten in Abstract Syntax Notation One (ASN.1) auf bestimmten Plattformen kann von einem Angreifer dazu ausgenutzt werden, OpenSSL bzw. die Anwendung, die OpenSSL verwendet zum Absturz zu bringen. Potentiell ist es möglich, dass der Angreifer beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des OpenSSL-Prozesses, bzw. den Privilegien der OpenSSL verwendenden Anwendung ausführt.

    Die Schwachstelle tritt auf, wenn mit OpenSSL Zertifikatfdaten verarbeitet werden, die in ASN.1 vorliegen. Typische Anwendungen, die solche Operationen durchführen sind OpenSSL selbst, OpenSSH, OpenVPN, mod_ssl, S/MIME-Anwendungen und viele mehr.

    Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer entsprechende Daten an ein betroffenes System sendet und einen Benutzer einer verwundbaren Applikation dazu veranlasst, sie zu verarbeiten. Dies findet z.B. dann statt, wenn ein neuer öffentlicher Schlüssel (z.B. eines Web-Servers) empfangen und überprüft wird.

Gegenmaßnahmen

  • CVE-2009-0590:
    Installation von OpenSSL 0.9.8k
    bzw. der ensprechenden Pakete der verschiedenen Distributoren
  • CVE-2009-0591:
    Installation von OpenSSL 0.9.8k
    bzw. der ensprechenden Pakete der verschiedenen Distributoren
  • CVE-2009-0789:
    Installation von OpenSSL 0.9.8k
    bzw. der ensprechenden Pakete der verschiedenen Distributoren

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.