Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1372

[Generic/RSA] Schwachstelle in RSA Krypto-Bibliothek
(2007-05-23 15:28:02.021228+00)

Quelle: http://www.kb.cert.org/vuls/id/754281

Eine Schwachstelle in den kryptographischen Bibliotheken Crypto-C und Cert-C des Verschlüsselungssoftwareherstellers RSA Inc. kann dazu ausgenutzt werden, die aufrufende Applikation oder das Betriebssystem des beherbergenden Rechnersystems in einen unbenutzbaren Zustand zu bringen (Denial of Service). Die Bibliotheken werden in den Produkten zahlreicher Dritthersteller verwendet.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Speziell formuliertes Datenobjekt in ASN.1-Notation

Angriffsvoraussetzung
Ein Angreifer muss in der Lage sein, einem verwundbaren System eine entsprechende Nachricht über eine Netzwerkverbindung zu senden. Dabei ist es nicht erforderlich, dass der Angreifer ein gültiges und zugelassenes Zertifikat oder sonstige Authentifizierungsmittel und die damit verbundenen Autorisierungen besitzt.

Auswirkung
Nichtverfügbarkeit der aufrufenden Applikation oder des aufrufenden Betriebssystems
(Denial of Service)

Typ der Verwundbarkeit
unbekannt

Gefahrenpotential
Je nach Einsatz der Bibliothek mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Die Abstract Syntax Notation 1 (ASN.1) spezifiziert, wie beliebige Daten in strukturierter Form abgelegt werden können. Sogenannte Encoding Rules legen fest, wie diese Daten in einen Strom von Bytes umzuwandeln sind. Dieser Bytestrom kann beispielsweise über ein Rechnernetz zu einem anderen System übertragen werden, welches den Bytestrom dekodieren kann und somit Zugriff auf die ursprünglichen, strukturierten Daten erhält.

Beschreibung
Eine Schwachstelle in den kryptographischen Bibliotheken Crypto-C und Cert-C des Verschlüsselungssoftwareherstellers RSA Inc. kann dazu ausgenutzt werden, die verwendende Applikation oder das Betriebssystem des beherbergenden Rechnersystems in einen unbenutzbaren Zustand zu versetzen (Denial of Service). Die Schwachstelle tritt auf, wenn Routinen der Bibliotheken speziell formulierte Datenobjekte in ASN.1-Syntax verarbeiten. Die Bibliotheken werden von zahlreichen Herstellern in ihren Applikationen und/oder Betriebssystemen verwendet.
Um die Schwachstelle erfolgreich auszunutzen, muss der Angreifer in der Lage sein, einem verwundbaren System eine entsprechende Nachricht über eine Netzwerkverbindung zu senden. Dabei ist es nicht erforderlich, dass der Angreifer ein gültiges und zugelassenes Zertifikat oder sonstige Authentifizierungsmittel und die damit verbundenen Autorisierungen besitzt.

Gegenmaßnahmen

Vulnerability ID

Revisionen dieser Meldung

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1372