"Record of Death" legt OpenSSL-Server lahm

Präparierte TLS-Pakete können einen OpenSSL-Server oder -Client zum Absturz bringen. Ursache ist ein Fehler in der Funktion ssl3_get_record() zur Verarbeitung von SSL-Records. In SSL-Records werden die Daten zwischen den Endpunkten übertragen. Falsch formatierte Records führen laut Bericht der OpenSSL-Entwickler zu einem Speicherzugriffsfehler.

Grundsätzlich sind die Versionen OpenSSL 0.9.8f bis einschließlich 0.9.8m betroffen. Allerdings kommt der Fehler nicht überall zum Tragen, sondern ist abhängig vom C-Compiler. Wo "short" als 16 Bit langer Integer definiert ist, ist nur 0.9.8m verwundbar – das trifft jedoch fast immer zu. Abhilfe bringt ein Update auf die OpenSSL-Version 0.9.8n .

Siehe dazu auch:

• "Record of death" vulnerability in OpenSSL 0.9.8f through 0.9.8m , Fehlerbericht von OpenSSL

(dab)