Fehler beim Parsen von OpenSSL-Zertifikaten verursacht Denial-of-Service-Loop

Publiziert am 16. März 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]OpenSSL hat ein Sicherheitsupdate zum Schließen einer Schwachstelle in der Bibliothek veröffentlicht. Die zur Berechnung einer modularen Quadratwurzel verwendete Funktion BN_mod_sqrt() enthält
einen Fehler, der dazu führen kann, dass für nicht-primäre Moduli eine Endlosschleife durchlaufen wird.

Anzeige

Die Schwachstelle würde bei einer Ausnutzung zu Denial-of-Service-Schleife führen. Das geht aus dieser OpenSLL Sicherheitswarnung hervor. Intern wird diese Funktion beim Parsen von Zertifikaten verwendet, die elliptische Kurvenschlüssel in komprimierter Form oder explizite elliptische Kurven Parameter mit einem in komprimierter Form kodierten Basispunkt enthalten. Es ist möglich, die Endlosschleife auszulösen, indem ein Zertifikat erstellt wird, das ungültige explizite Kurvenparameter enthält.Durch das Update soll die Schwachstelle beseitigt werden. Neben den Hinweisen in der obigen Sicherheitswarnung haben die Kollegen von Bleeping Computer diesen Beitrag dazu veröffentlicht.

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.