Sicherheits-Update für OpenSSL

Die OpenSSL-Entwickler haben Version 0.9.8k vorgelegt, in der drei Schwachstellen in der Zertifikatsverarbeitung beseitigt sind.

29

27.03.2009, 10:27 Uhr

Lesezeit: 1 Min.

Security

Von

Daniel Bachfeld

Die OpenSSL-Entwickler haben Version 0.9.8k vorgelegt, in der drei Schwachstellen in der Zertifikatsverarbeitung beseitigt sind. So kann die Anzeige des Inhalts manipulierter Zertifikate zum Absturz der auf OpenSSL aufbauenden Anwendung führen, etwa SSL-Server, -Clients und S/MIME-Software. Zudem führt ein Fehler in der Auswertung mittels Cryptographic Message Syntax (CMS) gesicherter Mitteilungen dazu, dass Attribute eines Zertifikats als gültig erscheinen können, obwohl sie es nicht sind. Unter Umständen lassen sich damit Restriktionen umgehen.

Auf einigen Betriebssystemen kann eine fehlerhafte ASN1-Struktur etwa in einem öffentlichen RSA-Schlüssel ebenfalls zu einem Absturz der Anwendung führen. Nach Angaben der Entwickler tritt dies aber nur auf Betriebssytemen auf, auf denen sizeof(long) < sizeof(void *) gilt, etwa 64-Bit-Versionen von Windows.

Siehe dazu auch:

OpenSSL Security Advisory,25-Mar-2009, Bericht von OpenSSL

(dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Sicherheits-Update für OpenSSL

Spiele

6 Monate mit 50 % RabattVolles Wissen, halber Preis: 6 Monate mit 50 % Rabatt

Das digitale Abo für IT und Technik.