"Record of Death" legt OpenSSL-Server lahm

Präparierte TLS-Pakete können einen OpenSSL-Server oder -Client zum Absturz bringen. Ein Update behebt den Fehler.

29.03.2010, 11:35 Uhr

Lesezeit: 1 Min.

Von

Daniel Bachfeld

Präparierte TLS-Pakete können einen OpenSSL-Server oder -Client zum Absturz bringen. Ursache ist ein Fehler in der Funktion ssl3_get_record() zur Verarbeitung von SSL-Records. In SSL-Records werden die Daten zwischen den Endpunkten übertragen. Falsch formatierte Records führen laut Bericht der OpenSSL-Entwickler zu einem Speicherzugriffsfehler.

Grundsätzlich sind die Versionen OpenSSL 0.9.8f bis einschließlich 0.9.8m betroffen. Allerdings kommt der Fehler nicht überall zum Tragen, sondern ist abhängig vom C-Compiler. Wo "short" als 16 Bit langer Integer definiert ist, ist nur 0.9.8m verwundbar – das trifft jedoch fast immer zu. Abhilfe bringt ein Update auf die OpenSSL-Version 0.9.8n .

Siehe dazu auch:

"Record of death" vulnerability in OpenSSL 0.9.8f through 0.9.8m , Fehlerbericht von OpenSSL

(dab)

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

"Record of Death" legt OpenSSL-Server lahm

Spiele

1 Monat gratis lesen.Jetzt 1 Monat gratis lesen.

Das digitale Abo für IT und Technik.