Kryptologen von Qualys warnen, dass bis hin zur aktuellen Version 2.3.0 zwei Sicherheitslücken in LibreSSL klaffen. Die enthaltene LibreSSL-Version im am vergangenen Wochenende erschienen OpenBSD 5.8 soll bereits gefixt sein.

Die Sicherheitsforscher haben die E-Mail-Implementierung OpenSMTPD eigentlich auf Speicherlecks zum Ausführen von Schadcode abgeklopft, wurden jedoch nicht fündig. Die Untersuchung verschiedener Bibliotheken wiederum förderte ein Speicherleck in LibreSSL (CVE-2015-5333) zutage.

In der OBJ_obj2txt()-Funktion, die beim Entschlüsseln von X.509-Zertifikaten im Zuge eines SSL-Handshakes zum Einsatz kommt, klaffe das Leck. Angreifer sollen über die Lücke einen Pufferüberlauf (CVE-2015-5334) zum Ausführen von eigenem Code provozieren und zudem eine DoS-Attacke ausführen können.

Vermutlich ist der Pufferüberlauf den Sicherheitsforschern zufolge unter OpenBSD x86 nicht ausführbar. OpenSSL soll beide Schwachstellen nicht aufweisen.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE