Weiterer Fehler in OpenSSL gefunden
Ein weiterer Fehler in OpenSSL macht insbesondere Windows-Plattformen für Denial-of-Service-Angriffe anfällig.
Bereits Anfang Oktober sorgten die in OpenSSL entdeckten Schwachstellen für Unruhe. Der ASN.1-Parser (Abstract Syntax Notation), notwendig zum Analysieren der ausgetauschten Zertifikate, konnte mit manipulierten Zertifikaten zum Absturz gebracht werden. Die kurz darauf freigegebenen Versionen 0.9.6k und 0.9.7c behoben die Fehler. Entdeckt wurden die Probleme vom britischen National Infrastructure Security Coordination Centre (NISCC), das dazu eine selbst entwickelte Test-Suite verwendete.
Novell hat derweil mit der Test-Suite weitergehende Untersuchungen durchgeführt und einen Fehler gefunden, den die bisherigen Patches und Versionen nicht beseitigen. Spezielle ASN.1-Sequenzen können in Version 0.9.6k eine Rekursion auslösen. Laut Advisory ist der Fehler zwar auf allen Plattformen vorhanden, führt aber bislang nur unter Windows zum Absturz von OpenSSL. Version 0.9.7 ist nicht von dem Fehler betroffen.
Um einen erfolgreichen Denial-of-Service-Angriff durchzuführen, ist ein manipuliertes Zertifikat notwendig. Zusätzlich muss der entsprechende Dienst, der SSL/TLS verwendet (wie etwa HTTPS, IMAPS und andere), Client-Zertifikate akzeptieren. Dies ist bei bidirektionaler Authentifzierung der Fall: Nicht nur der Server gibt sich dem Anwender zu erkennen wie bei HTTPS, sondern auch der Anwender gegenüber dem Server.
Das OpenSSL-Team geht derzeit davon aus, dass Angreifer den Fehler nur für DoS-Angriffe ausnutzen können. Anwender sollten auf die Versionen 0.9.6l oder 0.9.7c wechseln. Applikationen, die statisch gegen ältere Versionen gelinkt sind, müssen neu kompiliert werden. (dab)
