Taggat med: säkerhetsbrist

Allvarlig sårbarhet identifierad i OpenSSL

Tavis Ormandy som jobbar på Google med säkerhet har identifierat en allvarlig säkerhetsbrist i OpenSSL-funktionen asn1_d2i_read_bio. Som funktionsnamnet antyder så används den för läsning av ASN1-information, och inte konstigt att sårbarheter identifieras i denna typ av funktioner då standarden är en vildvuxen skog.

Enligt den säkerhetsnotis (se nedan) som skickats ut så är SSL/TLS-implementationer ej sårbara men det finns en viss chans att någon implementation använder sig av d2i_X509_bio och kan då vara sårbar.

OpenSSL-teamet vädjar till uppgradering till versionerna 1.0.1a, 1.0.0i eller 0.9.8v.

Källa: https://openssl.org/news/secadv_20120419.txt

Ny version av OpenSSL

OpenSSL är ett av världens mest använda krypteringsbibliotek och finns inbyggt i allt från satelliter till bilar och tv-spelskonsoller. Nu har det kommit en uppdatering som får versionsnummer 0.9.8o samt 1.0.0a som åtgärdar ett antal säkerhetsbrister men även innehåller ett antal nya funktioner:

  • Stöd för TLS v1.1
  • Fixar för två säkerhetsbrister, se mer nedan.
  • Stöd för CMAC

Säkerhetbristerna är enligt följande:

CMS structures containing OriginatorInfo are mishandled this can write to invalid memory addresses or free up memory twice.

When verification recovery fails for RSA keys an uninitialised buffer with an undefined length is returned instead of an error code.

Mer information finns som vanligt på OpenSSL.org