Lücken durch fehlerhafte Implementierung von S/MIME [Update]

Das National Infrastructure Security Co-ordination Center (NISCC) weist in einem Vulnerability Advisory auf mögliche fehlerhafte Implementierungen des S/MIME-Protokolls (Secure/Multipurpose Internet Mail Extensions) in E-Mail-Produkten hin. S/MIME erweitert die MIME-Spezifikation zum Versenden von beliebigen Anhängen in einer Mail um kryptografische Funktionen wie digitale Signatur und Verschlüsselung. Dabei wird die Abstract Syntax Notation (ASN.1) verwendet, um das Attachment in ein entsprechendes Format zu kodieren. Schon unter OpenSSL sorgte der fehlerhaft implementierte ASN.1-Parser bei der Auswertung von Benutzerzertifikaten für Probleme.

Enthält eine S/MIME-Mail ASN.1-Elemente, die der Empfänger nicht kennt, kann dies zu unvorhersehbaren Fehlern führen. Laut Advisory reichen die Möglichkeiten hierbei von Denial-of-Service-Angriffen bis zu provozierbaren Buffer Overflows. Bestätigt wurde eine DoS-Verwundbarkeit für Hitachis Groupmax Mail und PKI Runtime Library, andere Hersteller testen ihre Produkte derzeit noch. CERT/CC hat eine Liste möglicher betroffener Hersteller veröffentlicht und aktualisiert diese ständig. Das NISCC weist darauf hin, dass die S/MIME-Krypto-Bibliotheken, insbesondere der ASN.1-Parser, auch von anderen Applikationen verwendet werden können.

NISCC hat zum Aufspüren der Fehler eine selbst entwickelte Test-Suite eingesetzt und stellt diese den Herstellern zum Nachvollziehen zur Verfügung.

[Update]
NISCC hat auch in diversen X.400-Implementierungen einen Fehler im ASN.1-Parser entdeckt. Laut Advisory kann der Austausch von X.400-Mail mit manipulierten ASN-Feldern ebenfalls zu unerwarteten Reaktionen des Systems führen.

Siehe dazu auch: (dab)

• Vulnerability Advisory von NISCC
• Vulnerability Note von CERT/CC