Warnung: Sicherheitslöcher in OpenSSL

Published by

In einem Security Advisory beschreibt das britische Infrastructure Security Coordination Centre (NISCC) drei Fehler in der Open-Source-Verschlüsselungsbibliothek OpenSSL. Bei der SSL/TLS-Verbindungsaufnahme werden zur Authentifizierung Zertifikate ausgetauscht. Diese Zertifikate sind nach der Abstract Syntax Notation (ASN.1) aufgebaut und enthalten unter anderem die Namen des Austellers (Issuer) und der Eigentümers (Common Name, CN). Manipuliert ein Angreifer bestimmte ASN.1-Elemente, kann er damit den Dienst zum Absturz bringen oder beliebigen Code auf den Stack schreiben und ausführen. Ein Exploit ist derzeit noch nicht bekannt. Betroffen sind alle OpenSSL-Versionen bis einschließlich 0.9.6j und 0.9.7b. Außer bei Web-Servern kommt SSL auch zur Sicherung von IMAP, SMTP und anderen Protokollen zum Einsatz, die von Haus aus keine starke Authentifizierung beziehungsweise Verschlüsselung bieten. Alle Infos bei Heise Security