OpenSSL: Schwachstellen-Fix beugt möglicher Datenmanipulation vor
Die frisch erschienene Version 1.1.1l der freien Software OpenSSL beseitigt zwei Schwachstellen, von denen eine ein als hoch bewertetes Sicherheitsrisiko birgt.
(Bild: VideoFlow/Shutterstock.com)
OpenSSL, die freie Implementierung von Transport Layer Security (TLS), ist in neuen Versionen verfügbar. Zwei Schwachstellen wurden geschlossen, von denen eine mit dem Schweregrad "High", die andere mit "Medium" bewertet wurde. Erstere (CVE-2021-3711) könnte laut Beschreibung des OpenSSL-Teams unter bestimmten Voraussetzungen zur Manipulation von Anwendungsdaten missbraucht werden. Über letztere (CVE-2021-3712) könnten Angreifer Programmabstürze provozieren und schlimmstenfalls auch sensible Daten auslesen.
Nutzer der Versionsreihe 1.1.1 sollten auf die Version 1.1.1l umsteigen, die beide Schwachstellen-Fixes beinhaltet. In der Versionsreihe 1.0.2 schiebt die neue Version 1.0.2za möglichen Angriffen via CVE-2021-3712 einen Riegel vor – eine Verwundbarkeit durch CVE-2021-3711 bestand hier nicht.
Details und Downloads
Ausführliche Beschreibungen beider Schwachstellen bietet eine entsprechende Übersicht auf der OpenSSL-Projektseite. Demnach fußt die High-Severity-Schwachstelle CVE-2021-3711 auf einem Bug in der Implementierung der Entschlüsselung von Daten, die zuvor mit dem Algorithmus SM2 verschlüsselt wurden (SM2 decryption).
Ein entfernter Angreifer, der speziell präparierten SM2-Content an die von einer Anwendung genutzte fehlerhafte OpenSSL-Entschlüsselungsfunktion übermittelt, könnte einen Pufferüberlauf verursachen. Auf diese Weise könnte er die betreffende Anwendung einerseits zum Absturz bringen, mit entsprechender Vorbereitung aber auch Anwendungsdaten jenseits der Puffergrenze gezielt mit eigenen Daten überschreiben, um das Verhalten der Anwendung zu manipulieren.
Die abgesicherten OpenSSL-Versionen sind zum Download von der Projektseite oder auch via heise Download verfügbar.
(ovw)