Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-920

[Generic/OpenSSL] Korrektur für SSL-Schwachstellen fehlerhaft
(2002-08-09 12:26:30.603104+00) Druckversion


Auch mit den Korrekturen für die SSL-Schwachstellen erlaubt OpenSSL 0.9.6e immer noch Denial of Service-Angriffe.

Betroffene Systeme

  • Systeme, die OpenSSL 0.9.6e bzw. gleichwertige Patches verwenden.
Nicht alle Dienste, die mit Hilfe von OpenSSL erbracht werden, sind gleichermaßen betroffen (siehe unten).

Einfallstor
SSL-Verbindungen

Auswirkung
Denial of Service

Typ der Verwundbarkeit
falsche Fehlerbehandlung

Gefahrenpotential
niedrig bis mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Bei der Behebung der Fehler im SSL-Code wurde recht radikal vorgegangen: Falls ungültige Daten über das Netz empfangen wurden, wurde nicht ein Fehlercode an die aufrufende Anwendung zurückgegeben, sondern die Anwendung gleich ganz beendet. Dadurch kann ein Angreifer einen Denial of Service-Angriff durchführen, insbesondere wenn die Anwendung nicht automatisch neu gestartet wird.

Die Auswirkungen sind jedoch sehr gering bei Anwendungen, die für jede Client-Verbindung einen eigenen Prozeß starten (also Apache 1.3 auf UNIX-Systemen und typische SMTP-, IMAP- und POP-Server). OpenSSH ist von der Problematik nicht betroffen, da das Update fúr die ASN.1-Verarbeitung bereits korrekte Fehlerbehandlung enthielt.

Einige Hersteller erwähnen zudem ein Problem bei der Prüfung auf Ganzzahlüberlauf in den ASN.1-Routinen. Beim Einsatz von GCC als Compiler (wie das z.B. unter GNU/Linux üblich ist) spielt diese Problematik aber keine Rolle: Auch wenn die OpenSSL-Quellen fehlerhaft sind, wird trotzdem der gewünschte Programmcode durch den Compiler erzeugt.

Gegenmaßnahmen

  • Umstieg auf OpenSSL 0.9.6g. (Die Version 0.9.6g behebt gegenüber der Version 0.9.6f Kompilierungsprobleme.)
  • Einspielen eines Hersteller-Patches.

Weitere Information zu diesem Thema

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.