zurück zum Artikel

Ein Update beseitigt einen Null-Pointer-Zugriff, der laut Advisory zum Absturz führen kann.

Das OpenSSL-Team warnt vor einem Sicherheitsproblem der Bibliothek (CVE-2020-1971). Es hat den Schweregrad "hoch" und kann laut dem Security Advisory zu einem Programmabsturz durch einen Null-Pointer-Zugriff führen. Betroffen sind alle Versionen von OpenSSL 1.0.2 und 1.1.1 vor dem fehlerbereinigten OpenSSL 1.1.1i.

Ein Aufruf der Funktion GENERAL_NAME_cmp kann den Fehler auslösen, die zwei X509-Namen vom Typ EDIPARTYNAME vergleicht, erklärt das Advisory des OpenSSL-Teams [1]. Den könnte ein Angreifer auslösen, indem er einen Client oder einen Server mit einem speziell präparierten Zertifikat dazu bringt, dessen Angaben gegen eine bösartige Sperrliste (CRL) abzugleichen.

(ju [2])

URL dieses Artikels:
https://www.heise.de/-4985050

Links in diesem Artikel:
[1] https://www.openssl.org/news/secadv/20201208.txt
[2] mailto:ju@ct.de

Copyright © 2020 Heise Medien