symlink.ch | Sicherheitslöcher in OpenSSL

symlink.ch

FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde

Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

Sicherheitslöcher in OpenSSL

Veröffentlicht durch chrlen am Freitag 03. Oktober, 08:23
Aus der bugs Abteilung

Admins haben es zur Zeit nicht einfach. Laut einem Cern Advisory (CA-2003-26) wurden mehrere Sicherheitslöcher in OpenSSL, verschiedenen SSL und TLS-Implementationen und der SSLeay Library entdeckt. Der schlimmste Bug erlaubt es einen entfernten Angreifer, beliebigen Code auszuführen.

Betroffen von diesen Bugs sind:
- OpenSSL Versionen vor 0.9.7c und vor 0.9.6k.
- Verschiedene SSL/TLS Implementationen
- SSLeay Library

Die meisten Bugs (VU#935264, VU#255484, VU#380864) betreffen den Abstract Syntax Notation One (ASN.1) parsing code. Ein weiterer Fehler tritt bei der Verarbeitung von falschen/ungültigen Public Keys auf, wenn OpenSSL so konfiguriert ist, dass Fehler ignoriert werden (VU#686224). Weiter akzeptiert OpenSSL unaufgeforderte Client Certificate Messages (VU#732952). Auch in SSL/TLS-Implementationen wurden mehrere Fehler gefunden. Betroffen davon sind unter anderem die Hersteller 3COM, IBM, Nokia, Novell, Cisco, SGI, usw. (VU#104280).

In RedHats Variante von OpenSSL wurde noch ein zusätzlicher Bug gefunden: Mit einer speziellen "SSLv2 CLIENT_MASTER_KEY message" kann ein entfernter Angreifer einen DoS auslösen. Ein Upgrade wird dringendst empfohlen.
Viel Spass beim Patchen! ;-)
Quelle

< Valve "gehackt" | Druckausgabe | Linux-Tag in Migros Klubschule >

symlink.ch Login

extrahierte Links

0.9.7c und vor 0.9.6k

VU#935264

VU#255484

VU#380864

VU#686224

VU#732952

VU#104280

Bug

Quelle

Cern Advisory

Mehr zu Security

Auch von chrlen

Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.

apt-get (Score:0)

Von Anonymer Feigling am Friday 03. October, 11:04 MET (#1)

Mal eine typisch RTFM Frage:
Wie führt man man ein update eines bestimmten Packetes durch? apr-get upgrade [Packetname] geht nicht wirklich...ist einfach drüberbügeln (apt-get install [PacketName] die Lösung?)

Re:apt-get (Score:2)

Von pfr am Friday 03. October, 11:49 MET (#2)
(User #4 Info) http://www.math.ethz.ch/~pfrauenf/

Ja, apt-get install package ist die richtige Antwort. Wenn du sehen willst, was zur Auswahl steht und was genommen wird, dann kannst du zuvor mit apt-cache policy package das abchecken. Z.B.:

$ apt-cache policy dia-gnome dia-gnome: Installiert:0.88.1-3 Mögliche Pakete:0.90-2 Versions-Tabelle: 0.91-9 0 500 http://debian.ethz.ch sid/main Packages 0.90-2 0 990 http://debian.ethz.ch testing/main Packages *** 0.88.1-3 0 100 /var/lib/dpkg/status

Die drei Sterne markieren das aktuelle Paket und oben wird angegeben, welches genommen wird und es steht auch noch, woher es kommt. Die Nummern 100, 500 und 990 haben mit dem sog. 'pinning' zu tun. Mehr dazu in apt_preferences(5).

apt-get upgrade führt ein Upgrade aller Pakete durch, allerdings werden nur neue Versionen eingespielt und keinen neuen Pakete installiert. Steht in der Man page zu apt besser beschrieben. apt-get dist-upgrade führt ein schlaueres Upgrade aller Pakete durch.
--
Kühe geben keine Milch, die Bauern nehmen sie ihnen weg!

Re:apt-get (Score:2)

Von schth (t punkt schmid at gmx punkt net) am Friday 03. October, 12:17 MET (#3)
(User #782 Info)

Vergiss nicht zuerst ein apt-get update zu machen, damit die neuen Paketlisten geholt werden. Sonst nützt dir ein apt-get upgrade weder ein apt-get install etwas.

Grüässli Thomas

Re:apt-get (Score:0)

Von Anonymer Feigling am Friday 03. October, 13:01 MET (#4)

Merci für die auführliche Antwort!

Durchsuche symlink.ch:

Never be led astray onto the path of virtue.