OpenSSL 1.1.1l-Update zur Behebung zweier Sicherheitsanfälligkeiten

Ein Korrektur-Release der kryptografischen Bibliothek OpenSSL 1.1.1l steht zur Verfügung, das zwei Sicherheitsanfälligkeiten behebt:

  • CVE-2021-3711 – Bufferüberlauf im Code der Implementierung des kryptografischen Algorithmus SM2 (verbreitet in China), der es aufgrund eines Fehlers bei der Berechnung der Pufferspeichergröße erlaubt, bis zu 62 Byte im Speicher außerhalb des Puffers zu überschreiben. Ein Angreifer könnte potenziell die Ausführung seines Codes erreichen oder eine Anwendung durch das Senden speziell formatierter Daten zum Decodieren in Anwendungen, die die Funktion EVP_PKEY_decrypt() zur Entschlüsselung von SM2-Daten nutzen, zum Absturz bringen.
  • CVE-2021-3712 – Bufferüberlauf im Code zur Verarbeitung von ASN.1-Zeichenfolgen, der zu einem Absturz der Anwendung oder zur Einsicht in den Speicherinhalt des Prozesses (z. B. zur Identifizierung im Speicher gespeicherter Schlüssel) führen kann, wenn es einem Angreifer gelingt, eine Zeichenfolge in der internen Struktur ASN1_STRING zu formen, die nicht mit einem Nullzeichen endet, und diese in OpenSSL-Funktionen zu verarbeiten, die Zertifikate ausgeben, wie etwa X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() und X509_get1_ocsp().

Zugleich wurden neue Versionen der Bibliothek LibreSSL 3.3.4 und 3.2.6 veröffentlicht, in denen zwar keine Schwachstellen erwähnt werden, jedoch aus der Änderungsprotokoll ersichtlich ist, dass die Schwachstelle CVE-2021-3712 behoben wurde.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster