In der erst kürzlich zur Behebung von diversen Problemen veröffentlichten Version OpenSSL 0.9.6k ist eine weitere Schwachstelle entdeckt worden, die dazu ausgenutzt werden kann, den OpenSSL-Dienst unter Microsoft Windows in einen unbenutzbaren Zustand zu bringen.
Betroffene Systeme * OpenSSL 0.9.6k, nach derzeitigem Kenntnisstand nur unter Microsoft Windows
Nicht betroffene Systeme * OpenSSL 0.9.7 * OpenSSL 0.9.6k auf Nicht-Microsoft-Windows-Plattformen * Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.
Einfallstor Senden speziell formulierter ASN.1-Kodierungen an ein verarbeitendes System
Auswirkung Nichtverfügbarkeit des SSL-Dienstes auf dem beherbergenden Rechnersystem Denial of Service (DoS)
Typ der Verwundbarkeit unbekannt
Gefahrenpotential mittel (Hinweise zur [1]Einstufung des Gefahrenpotentials.)
Kontext OpenSSL ist eine Bibliothek zur Implementierung von SSL/TLS-Funktionalität in Applikationen, die starke Verschlüsselung und Authentifizierung benötigen.
OpenSSL verarbeitet Zertifikate nach dem [2]X.509-Standard. Bei der Übertragung von Zertifikaten über Netzwerkverbindungen werden diese in der Abstract Syntax Notation One ([3]ASN.1) kodiert. Zur Verarbeitung auf der empfangenden Seite, wird die ASN.1-Codierung syntaktisch analysiert (parsed) und wieder in eine andere Darstellung übersetzt.
Beschreibung Ein Fehler in der Verarbeitung von ASN.1-kodierten SSL/TLS-Daten kann dazu führen, daß der Prozeß eine besonders tiefe Rekursion durchführt. Eine solche Rekursion wird auf Microsoft Windows Plattformen nicht ressourcensparend vorgenommen, so daß der Prozeß in einen unbenutzbaren Zustand geraten kann und SSL/TLS-Dienste nicht weiter verfügbar sind.
Nach derzeitigem Kenntnisstand wirkt sich dieser Fehler nur auf Microsoft-Windows-Plattformen derart aus.
Der in OpenSSL 0.9.6j und früher vorhandene [4]Fehler in der SSL/TLS-Protokollverarbeitung, der dazu führte, daß Client-Zertifikate auch dann parsed werden, wenn die Anwendung keines angefordert hat, wurde in 0.9.6k behoben. Die in dieser Meldung beschriebene Schwachstelle kann daher nur auf Systemen ausgenutzt werden, die für die Annahme und Verarbeitung von Client-Zertifikaten konfiguriert sind.
Gegenmaßnahmen * Upgrade auf [5]OpenSSL 0.9.7c
Vulnerability ID * [6]CAN-2003-0851
Weitere Information zu diesem Thema * [7]OpenSSL Homepage * [8]OpenSSL Security Advisory [4 November 2003]
Hinweis Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
(2003-11-05 22:07:33.773661+01)
Quelle: http://cert.uni-stuttgart.de/archive/uniras/2003/11/msg00002.h
tml
In der erst kürzlich zur Behebung von diversen Problemen
veröffentlichten Version OpenSSL 0.9.6k ist eine weitere Schwachstelle
entdeckt worden, die dazu ausgenutzt werden kann, den OpenSSL-Dienst
unter Microsoft Windows in einen unbenutzbaren Zustand zu bringen.
Betroffene Systeme
* OpenSSL 0.9.6k, nach derzeitigem Kenntnisstand nur unter Microsoft
Windows
Nicht betroffene Systeme
* OpenSSL 0.9.7
* OpenSSL 0.9.6k auf Nicht-Microsoft-Windows-Plattformen
* Systeme, die mit entsprechenden Vendor-Patches zur Behebung der
Schwachstelle versehen sind, die aber i.d.R. nicht die
Versionsnummer ändern.
Einfallstor
Senden speziell formulierter ASN.1-Kodierungen an ein verarbeitendes
System
Auswirkung
Nichtverfügbarkeit des SSL-Dienstes auf dem beherbergenden
Rechnersystem
Denial of Service (DoS)
Typ der Verwundbarkeit
unbekannt
Gefahrenpotential
mittel
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)
Kontext
OpenSSL ist eine Bibliothek zur Implementierung von
SSL/TLS-Funktionalität in Applikationen, die starke Verschlüsselung
und Authentifizierung benötigen.
OpenSSL verarbeitet Zertifikate nach dem [2]X.509-Standard. Bei der
Übertragung von Zertifikaten über Netzwerkverbindungen werden diese in
der Abstract Syntax Notation One ([3]ASN.1) kodiert. Zur Verarbeitung
auf der empfangenden Seite, wird die ASN.1-Codierung syntaktisch
analysiert (parsed) und wieder in eine andere Darstellung übersetzt.
Beschreibung
Ein Fehler in der Verarbeitung von ASN.1-kodierten SSL/TLS-Daten kann
dazu führen, daß der Prozeß eine besonders tiefe Rekursion durchführt.
Eine solche Rekursion wird auf Microsoft Windows Plattformen nicht
ressourcensparend vorgenommen, so daß der Prozeß in einen
unbenutzbaren Zustand geraten kann und SSL/TLS-Dienste nicht weiter
verfügbar sind.
Nach derzeitigem Kenntnisstand wirkt sich dieser Fehler nur auf
Microsoft-Windows-Plattformen derart aus.
Der in OpenSSL 0.9.6j und früher vorhandene [4]Fehler in der
SSL/TLS-Protokollverarbeitung, der dazu führte, daß Client-Zertifikate
auch dann parsed werden, wenn die Anwendung keines angefordert hat,
wurde in 0.9.6k behoben. Die in dieser Meldung beschriebene
Schwachstelle kann daher nur auf Systemen ausgenutzt werden, die für
die Annahme und Verarbeitung von Client-Zertifikaten konfiguriert
sind.
Gegenmaßnahmen
* Upgrade auf [5]OpenSSL 0.9.7c
Vulnerability ID
* [6]CAN-2003-0851
Weitere Information zu diesem Thema
* [7]OpenSSL Homepage
* [8]OpenSSL Security Advisory [4 November 2003]
Aktuelle Version dieses Artikels
[9]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1162
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2003 RUS-CERT, Universität Stuttgart,
[10]http://CERT.Uni-Stuttgart.DE/
References
1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://archive.cert.uni-stuttgart.de/rfc/rfc2459.txt
3. http://asn1.elibel.tm.fr/en/introduction/index.htm
4. http://cert.uni-stuttgart.de/ticker/article.php?mid=1152
5. http://www.openssl.org/source/
6. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0851
7. http://www.openssl.org/
8. http://www.openssl.org/news/secadv_20031104.txt
9. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1162
10. http://CERT.Uni-Stuttgart.DE/
----------------------------------------------------------------------
Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE
__________
Durchsuchen --> Aussuchen --> Untersuchen