In der erst kürzlich zur Behebung von diversen Problemen veröffentlichten Version OpenSSL 0.9.6k ist eine weitere Schwachstelle entdeckt worden, die dazu ausgenutzt werden kann, den OpenSSL-Dienst unter Microsoft Windows in einen unbenutzbaren Zustand zu bringen.

Betroffene Systeme

• OpenSSL 0.9.6k, nach derzeitigem Kenntnisstand nur unter Microsoft Windows

Nicht betroffene Systeme

• OpenSSL 0.9.7
• OpenSSL 0.9.6k auf Nicht-Microsoft-Windows-Plattformen
• Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor
Senden speziell formulierter ASN.1-Kodierungen an ein verarbeitendes System

Auswirkung
Nichtverfügbarkeit des SSL-Dienstes auf dem beherbergenden Rechnersystem
Denial of Service (DoS)

Typ der Verwundbarkeit
unbekannt

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
OpenSSL ist eine Bibliothek zur Implementierung von SSL/TLS-Funktionalität in Applikationen, die starke Verschlüsselung und Authentifizierung benötigen.

OpenSSL verarbeitet Zertifikate nach dem X.509-Standard. Bei der Übertragung von Zertifikaten über Netzwerkverbindungen werden diese in der Abstract Syntax Notation One (ASN.1) kodiert. Zur Verarbeitung auf der empfangenden Seite, wird die ASN.1-Codierung syntaktisch analysiert (parsed) und wieder in eine andere Darstellung übersetzt.

Beschreibung
Ein Fehler in der Verarbeitung von ASN.1-kodierten SSL/TLS-Daten kann dazu führen, daß der Prozeß eine besonders tiefe Rekursion durchführt. Eine solche Rekursion wird auf Microsoft Windows Plattformen nicht ressourcensparend vorgenommen, so daß der Prozeß in einen unbenutzbaren Zustand geraten kann und SSL/TLS-Dienste nicht weiter verfügbar sind.

Nach derzeitigem Kenntnisstand wirkt sich dieser Fehler nur auf Microsoft-Windows-Plattformen derart aus.

Der in OpenSSL 0.9.6j und früher vorhandene Fehler in der SSL/TLS-Protokollverarbeitung, der dazu führte, daß Client-Zertifikate auch dann parsed werden, wenn die Anwendung keines angefordert hat, wurde in 0.9.6k behoben. Die in dieser Meldung beschriebene Schwachstelle kann daher nur auf Systemen ausgenutzt werden, die für die Annahme und Verarbeitung von Client-Zertifikaten konfiguriert sind.

Gegenmaßnahmen

• Upgrade auf OpenSSL 0.9.7c

Vulnerability ID

• CAN-2003-0851

Weitere Information zu diesem Thema

• OpenSSL Homepage
• OpenSSL Security Advisory [4 November 2003]

Weitere Artikel zu diesem Thema:

• [Generic/OpenSSL] Mehrere Schwachstellen in OpenSSL (2003-10-03)
  Eine Schwachstelle in den OpenSSL-Bibliotheken ermöglicht einem Angreifer die Ausführung beliebigen Programmcodes mit den Privilegien des benutzenden Prozesses, zwei weitere Schwachstellen können dazu führen, daß das SSL-System in einen unbenutzbaren Zustand gerät.
• [Generic/OpenSSL] Werkzeug zum Testen verwundbarer Systeme (2002-09-17)
  Das RUS-CERT hat ein Werkzeug entwickelt, mit dem sich Systeme ermitteln lassen, die verwundbare OpenSSL-Bibliotheken einsetzen.
• [Generic/OpenSSL] Wurm nutzt Schwachstellen in OpenSSL aus (2002-09-14)
  Es kursiert ein Wurm, der eine Schwachstelle in mod_ssl/OpenSSL zur Verbreitung ausnutzt.
• [Generic/OpenSSL] Korrektur für SSL-Schwachstellen fehlerhaft (2002-08-09)
  Auch mit den Korrekturen für die SSL-Schwachstellen erlaubt OpenSSL 0.9.6e immer noch Denial of Service-Angriffe.
• [Generic/OpenSSL] Fehler im Server- und Client-Code für SSL 2 und 3 (2002-07-30)
  In OpenSSL sind mehrere Schwachstellen im Programmcode zur Verarbeitung von SSL-Verbindungen (sowohl auf Client- als auch auf Server-Seite) entdeckt worden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/