Eine Schwachstelle im OpenSSL TLS-Server kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Ein Patch zur Behebung des Problems steht zur Verfügung. Nachdem sehr viele Sicherheitssysteme auf den durch OpenSSL bereitgestellten kryptographischen Funktionalitäten beruhen, wird dringend empfohlen, den Patch bzw. aktualisierte Softwarepakete, die durch Distributoren oder Drittanbieter bereitgestellt werden, zu installieren

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Nicht betroffene Systeme
• Plattform
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID

Zusammenfassung

• CVE-2010-3864:
  

  Betroffen:	OpenSSL 0.9.8f bis 0.9.8o OpenSSL 1.0.0 OpenSSL 1.0.0a
  Nicht betroffen:	OpenSSL 0.9.8p OpenSSL 1.0.0b
  Plattform:	alle (generic)
  Einfallstor:	TLS extension
  Angriffsvoraussetzung:	Netzwerk, Multi-Threading und Caching aktiv
  Angriffsvektorklasse:	remote
  Auswirkung:	user compromise
  Typ:	Speicherverletzung
  Gefahrenpotential:	hoch
  Workaround:	bedingt
  Gegenmaßnahmen:	Patch/neue Version
  Vulnerability ID:	CVE-2010-3864

Betroffene Systeme

• OpenSSL 0.9.8f bis 0.9.8o
• OpenSSL 1.0.0
• OpenSSL 1.0.0a
• alle weiteren Applikationen, die den verwundbaren Code verwenden

Nicht betroffene Systeme

• OpenSSL 0.9.8p
• OpenSSL 1.0.0b

Plattform

• Unixoide Betriebssysteme
• Microsoft Windows
• Mac OS X

Einfallstor

• TLS Extension

Angriffsvoraussetzung

• Zugriff auf ein Netzwerk, über das TLS-Verbindungen mit einem betroffenen System aufgebaut werden können
  (network)
• aktiviertes Multi-Threading sowie des internen Cachigs
  (configuration)

Angriffsvektorklasse

• über eine Netzwerkverbindung
  (remote)

Auswirkung

• Ausführung beliebigen Programmcodes mit den Privilegien des betroffenen Prozesses
  (user compromise)

Typ der Verwundbarkeit

• Speicherverletzung
  (memory corruption)

Gefahrenpotential

• mindestens hoch

Beschreibung

Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von TLS Extensions der TLS-Server-Funktionalität in der Krypto-Suite OpenSSL kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des TLS-Server-Prozesses ausgeführt. Dies sind im Allgemeinen keine administrativen Privilegen. Sofern dieser Prozess administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Die Schwachstelle tritt nur auf und kann dementsprechend auch nur ausgenutzt werden, sofern auf dem betroffenen TLS-Server das Multi-Threading sowie das interne Caching aktiviert sind.

OpenSSL sowie die durch die Suite bereitgestellte TLS-Server-Funktionalität werden durch zahlreiche Applikationen verwendet und sind sehr verbreitet im Einsatz.

Der Apache HTTP Server ist von dieser Schwachstelle nicht betroffen. Ebenfalls nicht betroffen ist Stunnel.

Workaround

• Abschaltung des Multi-Threadings sowie des internen Cachings, dies ist in vielen Fällen jedoch nicht praktikabel, bzw. nicht möglich

Gegenmaßnahmen

• Installation eines Patches für ssl/t1_lib.c
• Installation von OpenSSL 1.0.0b
• Installation von OpenSSL 0.9.8p
• Installation aktualisierter Pakete der verschiedenen Linux-Distributoren sobald diese verfügbar sind. Im Allgemeinen werden neue Pakete bei einer Aktualisierung des Betriebssyetems (z.B. mittels aptitude, Yast oder dem RPM Package Manager) automatisch mitinstalliert, sobald sie verfügbar und freigegeben sind.

Vulnerability ID

• CVE-2010-3864

Weitere Information zu diesem Thema

• OpenSSL Homepage

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/