OpenSSL 1.0.x mit Sicherheitslücke

Ein Experte für Software-Sicherheit hat einen Fehler im OpenSSL-Zweig 1.0 entdeckt. Offenbar ist es möglich, ein Zertifikat an den Client zu senden, das erreichen kann, über die Funktion ssl3_get_key_exchange (in ssls3_clnt.c) auf bereits deallokierte Speicher zurückzugreifen. Dies ermöglicht im schlechtesten Fall, eingeschleusten Code zu starten.

Da die wenigsten Linux-Distribution OpenSSL 1.0.x nutzen, dürfte kein großer Schaden entstehen. Ein fehlerbehebendes Update steht noch aus, auch wenn bereits diskutiert wird.

0 Kommentar(e)

Zum Posten von Kommentaren bitte