Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1446 Update 4

Risikostufe 2

Titel:OpenSSL: Zwei Schwachstellen ermöglichen das Darstellen falscher Informationen und das Ausspähen von InformationenDatum:10.11.2017Software:OpenSSL Project OpenSSL < 1.0.2m, OpenSSL Project OpenSSL < 1.1.0gPlattform:Apple Mac OS X, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Canonical Ubuntu Linux 17.10, Debian Linux 8.9 Jessie, Debian Linux 9.2 Stretch, FreeBSD, GNU/Linux, HP-UX, Microsoft Windows , SUSE Linux Enterprise Server 11 SECURITY, Oracle SolarisAuswirkung:Darstellen falscher InformationenRemoteangriff:JaRisiko:niedrigCVE Liste:CVE-2017-3735, CVE-2017-3736Bezug: Pull-Request #4276: Avoid out-of-bounds read

Beschreibung

OpenSSL ist eine freie Software, die kryptographische Funktionen und Protokolle implementiert. Bestandteil ist auch das TLS-Protokoll (Transport Layer Security). Es wurde ursprünglich als Secure Socket Layer entwickelt und ist immer noch unter dem Namen SSL bekannt.

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in OpenSSL ausnutzen, um falsche Informationen in der Textansicht eines X.509-Zertifikats darzustellen. Da die Herkunft der Informationen in einem nicht dafür vorgesehenen Speicherbereich liegt, lassen sich dadurch möglicherweise auch Informationen ausspähen. Der Hersteller informiert über die Schwachstelle in allen Versionen von OpenSSL seit 2006 und stellt über das Quellcode-Repository einen Patch bereit (siehe Referenz 'Pull-Request #4276'). Aufgrund des geringen Schweregrades der Schwachstelle verzichtet der Hersteller in diesem Fall auf ein eigenständiges Release zur Behebung der Schwachstelle.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK