Red Hat warnt vor Lücke in OpenSSL

Eine Schwachstelle in OpenSSL lässt sich unter Umständen aus der Ferne zum Einbruch in einen Server missbrauchen. Davor warnt der Linux-Distributor Red Hat in einem Fehlerbericht. Betroffen sind OpenSSL 0.9.8f bis 0.9.8o, 1.0.0 und 1.0.0a. Updates auf OpenSSL 0.9.8p und 1.0.0b schließen die Lücke.

Ursache des Problems ist eine Race Condition im OpenSSL-Code zum Parsen von TLS-Erweiterungen. Versuchen verschiedene Sessions über eine TLS-Erweiterung einen Hostnamen zu setzen, tritt in speziellen Fällen ein Heap Overflow auf. Ein Angreifer kann auf diese Weise bis zu 255 Bytes auf den Heap der Anwendung schleusen und starten.

Der Fehler tritt jedoch nach Angaben der OpenSSL-Entwickler nur bei Servern auf, die Multi-Threading unterstützen und zudem die interne Caching-Funktion von OpenSSL verwenden. Der Apache-Webserver und Lösungen wie Stunnel sollen nicht verwundbar sein, weil sie das interne Caching standardmäßig nicht nutzen.

In Tests der Red-Hat-Entwickler soll der Fehler auf Einkern-Prozessoren nur durch künstliches Verlangsamen der Threads ausnutzbar gewesen sein. Auf Mehrkernern soll die Wahrscheinlichkeit zum Gewinnen einer Race Condition größer sein. Bei den bisher beobachteten Fällen führten die Race Conditions jedoch wohl nur zum Absturz von Server-Anwendungen.
(dab)