Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1734

[Generic/OpenSSL] Schwachstelle in OpenSSL
(2015-07-09 14:23:50.342422+00) Druckversion

Quelle: https://www.openssl.org/news/secadv_20150709.txt

Eine Schwachstelle in OpenSSL der Versionen OpenSSL 1.0.2b, 1.0.2c, 1.0.1n und 1.0.1o kann dazu führen, dass Zertifikatsketten nicht ordnungsgemäß geprüft werden und ungültige Zertifikate als vertrauenswürdig aktzeptiert werden. Es wird dringend empfohlen betroffene Versionen auf OpenSSL 1.0.1p bzw. 1.0.2d zu aktualisieren, falls noch nicht geschehen. Aktuelle Linux-Distributionen sollten bereits die nicht mehr betroffenen Versionen enthalten.

Inhalt

Zusammenfassung

  • CVE-2015-1793:
    Betroffen: OpenSSL 1.0.2b, 1.0.2c, 1.0.1n, 1.0.1o
    Plattform: alle (generic)
    Einfallstor: X.509 Zertifikat
    Angriffsvoraussetzung: Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: Akzepieren von ungültigen Zertifikaten
    Typ: Implementierungsfehler
    Gefahrenpotential: hoch
    Workaround: teilweise
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2015-1793

Beschreibung

Ein Implementierungsfehler des Prozesses der Verifizierung von Zertifikatketten, kann dazu führen, dass Zertifikate als vertrauenswürdig eingestuft werden, die nicht durch eine gültige Zertifikatskette bestätigt sind.

Wenn die Überprüfung einer Zertifikatskette fehlschlägt, versucht OpenSSL eine alternative Zertifikatskette aufzubauen, um ein Zertifikat zu verifizieren. Ein Fehler in den entsprechenden Routinen kann dazu ausgenutzt werden, OpenSSL zu veranlassen, bestimmte Erweiterungen, wie zB das "CA"-Flag nicht zu beachten und so z.B. gültige Server- oder Benutzerzertifikate als CA-Zertifikat einzustufen und von diesen signierte Schlüssel als gültige Zertifikate zu akzeptieren. Ein Angreifer, der ein solches Server- oder Benutzerzertifikat besitzt, kann so akzeptierte Zertifikate für beliebiger Server oder Benutzer ausstellen und z.B. Phishing Sites mit einem vermeintlich vertrauenswürdigen Zertifikat ausstatten.

Workaround

  • In Fällen, in denen das Zertifikat der Gegenseite bekannt ist, kann durch das Pinning dieses Zertifikates die Ausnutzung der Schwachstelle verhindert werden.

Gegenmaßnahmen

  • Installation von OpenSSL 1.0.1p bzw.
  • Installation von OpenSSL 1.0.2d
  • Betroffene Linux- und BSD-Distributionen sollten mit den bereitgestellten Patches aktualisiert werden.

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2016 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.