In der Bibliothek von OpenSSL besteht ein Sicherheitsproblem (CVE-2020-1971), vor dem das OpenSSL-Team warnt. Laut dem Security Advisory kann es zu einem Programmabsturz durch einen Null-Pointer-Zugriff führen und hat den Schweregrad "hoch".

Alle Versionen von OpenSSL 1.0.2 und 1.1.1 vor dem fehlerbereinigten OpenSSL 1.1.1i sind betroffen.

Das Advisory des OpenSSL-Teams erklärt, dass ein Aufruf der Funktion GENERAL_NAME_cmp den Fehler auslösen kann, die zwei X509-Namen vom Typ EDIPARTYNAME vergleicht. Ein Angreifer könnte diesen Fehler auslösen, indem er einen Client oder einen Server mit einem speziell präparierten Zertifikat dazu bringt, dessen Angaben gegen eine bösartige Sperrliste (CRL) abzugleichen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE