Schwachstelle in OpenSSL 0.9.6k unter Microsoft Windows

#1 [MS/OpenSSL] Schwachstelle in OpenSSL 0.9.6k unter Microsoft Windows
(2003-11-05 22:07:33.773661+01)
Quelle: http://cert.uni-stuttgart.de/archive/uniras/2003/11/msg00002.h
tml

In der erst kürzlich zur Behebung von diversen Problemen
veröffentlichten Version OpenSSL 0.9.6k ist eine weitere Schwachstelle
entdeckt worden, die dazu ausgenutzt werden kann, den OpenSSL-Dienst
unter Microsoft Windows in einen unbenutzbaren Zustand zu bringen.

Betroffene Systeme
* OpenSSL 0.9.6k, nach derzeitigem Kenntnisstand nur unter Microsoft
Windows

Nicht betroffene Systeme
* OpenSSL 0.9.7
* OpenSSL 0.9.6k auf Nicht-Microsoft-Windows-Plattformen
* Systeme, die mit entsprechenden Vendor-Patches zur Behebung der
Schwachstelle versehen sind, die aber i.d.R. nicht die
Versionsnummer ändern.

Einfallstor
Senden speziell formulierter ASN.1-Kodierungen an ein verarbeitendes
System

Auswirkung
Nichtverfügbarkeit des SSL-Dienstes auf dem beherbergenden
Rechnersystem
Denial of Service (DoS)

Typ der Verwundbarkeit
unbekannt

Gefahrenpotential
mittel
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Kontext
OpenSSL ist eine Bibliothek zur Implementierung von
SSL/TLS-Funktionalität in Applikationen, die starke Verschlüsselung
und Authentifizierung benötigen.

OpenSSL verarbeitet Zertifikate nach dem [2]X.509-Standard. Bei der
Übertragung von Zertifikaten über Netzwerkverbindungen werden diese in
der Abstract Syntax Notation One ([3]ASN.1) kodiert. Zur Verarbeitung
auf der empfangenden Seite, wird die ASN.1-Codierung syntaktisch
analysiert (parsed) und wieder in eine andere Darstellung übersetzt.

Beschreibung
Ein Fehler in der Verarbeitung von ASN.1-kodierten SSL/TLS-Daten kann
dazu führen, daß der Prozeß eine besonders tiefe Rekursion durchführt.
Eine solche Rekursion wird auf Microsoft Windows Plattformen nicht
ressourcensparend vorgenommen, so daß der Prozeß in einen
unbenutzbaren Zustand geraten kann und SSL/TLS-Dienste nicht weiter
verfügbar sind.

Nach derzeitigem Kenntnisstand wirkt sich dieser Fehler nur auf
Microsoft-Windows-Plattformen derart aus.

Der in OpenSSL 0.9.6j und früher vorhandene [4]Fehler in der
SSL/TLS-Protokollverarbeitung, der dazu führte, daß Client-Zertifikate
auch dann parsed werden, wenn die Anwendung keines angefordert hat,
wurde in 0.9.6k behoben. Die in dieser Meldung beschriebene
Schwachstelle kann daher nur auf Systemen ausgenutzt werden, die für
die Annahme und Verarbeitung von Client-Zertifikaten konfiguriert
sind.

Gegenmaßnahmen
* Upgrade auf [5]OpenSSL 0.9.7c

Vulnerability ID
* [6]CAN-2003-0851

Weitere Information zu diesem Thema
* [7]OpenSSL Homepage
* [8]OpenSSL Security Advisory [4 November 2003]

Aktuelle Version dieses Artikels
[9]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1162

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[10]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://archive.cert.uni-stuttgart.de/rfc/rfc2459.txt
3. http://asn1.elibel.tm.fr/en/introduction/index.htm
4. http://cert.uni-stuttgart.de/ticker/article.php?mid=1152
5. http://www.openssl.org/source/
6. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0851
7. http://www.openssl.org/
8. http://www.openssl.org/news/secadv_20031104.txt
9. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1162
10. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE
__________
Durchsuchen --> Aussuchen --> Untersuchen