OpenSSL behebt Speicherfehler
Ein Update beseitigt einen Null-Pointer-Zugriff, der laut Advisory zum Absturz führen kann.
Das OpenSSL-Team warnt vor einem Sicherheitsproblem der Bibliothek (CVE-2020-1971). Es hat den Schweregrad "hoch" und kann laut dem Security Advisory zu einem Programmabsturz durch einen Null-Pointer-Zugriff führen. Betroffen sind alle Versionen von OpenSSL 1.0.2 und 1.1.1 vor dem fehlerbereinigten OpenSSL 1.1.1i.
Ein Aufruf der Funktion GENERAL_NAME_cmp
kann den Fehler auslösen, die zwei X509-Namen vom Typ EDIPARTYNAME
vergleicht, erklärt das Advisory des OpenSSL-Teams [1]. Den könnte ein Angreifer auslösen, indem er einen Client oder einen Server mit einem speziell präparierten Zertifikat dazu bringt, dessen Angaben gegen eine bösartige Sperrliste (CRL) abzugleichen.
(ju [2])
URL dieses Artikels:
https://www.heise.de/-4985050
Links in diesem Artikel:
[1] https://www.openssl.org/news/secadv/20201208.txt
[2] mailto:ju@ct.de
Copyright © 2020 Heise Medien