RUS CERT IT Sicherheit

Deutschsprachige IT Sicherheitsmeldungen des RUS CERT (Computer Emergency Response Team des Rechenzentrums der Universit├Ąt Stuttgart).

Security News Artikel #1654

Zurück zur Übersicht

Meldung Nr: RUS-CERT-1654

[Generic/OpenSSL] Schwachstelle in OpenSSL
(2010-11-16 23:34:14.261835+00)

Quelle: http://openssl.org/news/secadv_20101116.txt

Eine Schwachstelle im OpenSSL TLS-Server kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Ein Patch zur Behebung des Problems steht zur Verfügung. Nachdem sehr viele Sicherheitssysteme auf den durch OpenSSL bereitgestellten kryptographischen Funktionalitäten beruhen, wird dringend empfohlen, den Patch bzw. aktualisierte Softwarepakete, die durch Distributoren oder Drittanbieter bereitgestellt werden, zu installieren

Inhalt

Zusammenfassung

  • CVE-2010-3864:
    Betroffen: OpenSSL 0.9.8f bis 0.9.8o
    OpenSSL 1.0.0
    OpenSSL 1.0.0a
    Nicht betroffen: OpenSSL 0.9.8p
    OpenSSL 1.0.0b
    Plattform: alle (generic)
    Einfallstor: TLS extension
    Angriffsvoraussetzung:Netzwerk, Multi-Threading und Caching aktiv
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: bedingt
    Gegenmaßnahmen: Patch/neue Version
    Vulnerability ID: CVE-2010-3864

Betroffene Systeme

  • OpenSSL 0.9.8f bis 0.9.8o
  • OpenSSL 1.0.0
  • OpenSSL 1.0.0a
  • alle weiteren Applikationen, die den verwundbaren Code verwenden

Nicht betroffene Systeme

  • OpenSSL 0.9.8p
  • OpenSSL 1.0.0b

Plattform

Diese Schwachstelle betrifft alle Plattformen, für die OpenSSL angeboten wird:

Einfallstor

Angriffsvoraussetzung

  • Zugriff auf ein Netzwerk, über das TLS-Verbindungen mit einem betroffenen System aufgebaut werden können
    (network)
  • aktiviertes Multi-Threading sowie des internen Cachigs
    (configuration)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Ausführung beliebigen Programmcodes mit den Privilegien des betroffenen Prozesses
    (user compromise)

Typ der Verwundbarkeit

  • Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • mindestens hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von TLS Extensions der TLS-Server-Funktionalität in der Krypto-Suite OpenSSL kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des TLS-Server-Prozesses ausgeführt. Dies sind im Allgemeinen keine administrativen Privilegen. Sofern dieser Prozess administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Die Schwachstelle tritt nur auf und kann dementsprechend auch nur ausgenutzt werden, sofern auf dem betroffenen TLS-Server das Multi-Threading sowie das interne Caching aktiviert sind.

OpenSSL sowie die durch die Suite bereitgestellte TLS-Server-Funktionalität werden durch zahlreiche Applikationen verwendet und sind sehr verbreitet im Einsatz.

Der Apache HTTP Server ist von dieser Schwachstelle nicht betroffen. Ebenfalls nicht betroffen ist Stunnel.

Workaround

  • Abschaltung des Multi-Threadings sowie des internen Cachings, dies ist in vielen Fällen jedoch nicht praktikabel, bzw. nicht möglich

Gegenmaßnahmen

  • Installation eines Patches für ssl/t1_lib.c
  • Installation von OpenSSL 1.0.0b
  • Installation von OpenSSL 0.9.8p
  • Installation aktualisierter Pakete der verschiedenen Linux-Distributoren sobald diese verfügbar sind. Im Allgemeinen werden neue Pakete bei einer Aktualisierung des Betriebssyetems (z.B. mittels aptitude, Yast oder dem RPM Package Manager) automatisch mitinstalliert, sobald sie verfügbar und freigegeben sind.

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/


http://cert.uni-stuttgart.de/ticker/article.php?mid=1654
 

Scannen Sie den Barcode um die Webseite zu öffnen


Quelle: http://www.trinler.net/de/news/it/cert/1654
Gedruckt am: 30.03.2017 18:30 GMT+0200 (2017-03-30T18:30:57+02:00)