Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-904

[Generic/OpenSSL] Fehler im Server- und Client-Code für SSL 2 und 3
(2002-07-30 14:14:05.432708+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/07/msg00380.html

In OpenSSL sind mehrere Schwachstellen im Programmcode zur Verarbeitung von SSL-Verbindungen (sowohl auf Client- als auch auf Server-Seite) entdeckt worden.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
SSL-Verbindungen, z.B. HTTPS (TCP-Port 443), SMTP (TCP-Port 25), IMAPS (TCP-Port 993) oder POP3S (TCP-Port 995).

Auswirkung
Ein Angreifer kann beliebigen Code mit den Rechten des Prozesses ausführen, der die OpenSSL-Bibliothek verwendet. Das sind beispielsweise die Rechte das Accounts, unter dem der Web-Server läuft (z.B. www-data) oder root-Rechte bei einem typischen POP3S- oder IMAPS-Server.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Insgesamt sind vier Schwachstellen im SSL-Code entdeckt worden:

  1. Die erste Schwachstelle befindet sich im Server-Code für die SSL-Version 2. Ein Angreifer, der ein entsprechend manipuliertes Master Secret (von dem die diversen Sitzungsschlüssel abgeleitet werden) im Rahmen des Handshakes an den Server schickt, kann dort einen Pufferüberlauf auslösen. Es liegen Berichte vor, die besagen, daß über diese Schwachstelle eine Kompromittierung des Servers möglich ist. (Die Schwachstelle bezieht sich auf den Austausch des Master Secrets, sie ist also auch dann relevant, wenn keine Client-Zertifikate verwendet werden.)
  2. Eine weitere Schwachstelle befindet sich im Client-Code für die SSL-Version 3. Hier wird die Session-ID, die vom Server während des Handshakes geliefert wird, nicht korrekt verarbeitet, so daß es ebenfalls zu einem Pufferüberlauf kommt.
  3. Im SSL-3-Server-Code zwischen ist eine Schwachstelle enthalten, die der ersten ähnelt. Sie tritt jedoch nur auf, wenn Kerberos-Unterstützung in OpenSSL 0.9.7 (bis Version 0.9.7-beta2) aktiviert wurde.
  4. Auf 64-Bit-Systemen werden die Größen von einigen Zeichenketten, die Zahlen in dezimaler oder hexadezimaler Schreibweise aufnehmen, nicht korrekt berechnet. Dies führt ebenfalls zu Pufferüberläufen.

Workaround

Gegenmaßnahmen

Um sicherzustellen, daß alle Programme die neue Fassungen der OpenSSL-Bibliotheken verwenden, sollte das System nach der Installation gebootet werden.

Um verwundbare Systeme aufzufinden und das erfolgreiche Einspielen von Patches zu verifizieren, stellt das RUS-CERT ein spezielles Werkzeug zur Verfügung.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Mitteilung

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=904