Schwachstelle: CVE-2021-3449

Ein OpenSSL-TLS-Server kann abstürzen, wenn er eine böswillig gestaltete Renegotiation-ClientHello-Nachricht von einem Client erhält. Wenn ein TLSv1.2 Renegotiation ClientHello die signature_algorithms-Erweiterung auslässt (wo sie im ursprünglichen ClientHello vorhanden war), aber eine signature_algorithms_cert-Erweiterung enthält, dann führt dies zu einer NULL-Zeiger-Dereferenz, was zu einem Absturz und einem Denial-of-Service-Angriff führt. Ein Server ist nur verwundbar, wenn er TLSv1.2 und Renegotiation aktiviert hat (was die Standardkonfiguration ist). OpenSSL-TLS-Clients sind von diesem Problem nicht betroffen. Alle OpenSSL 1.1.1-Versionen sind von diesem Problem betroffen. Benutzer dieser Versionen sollten ein Upgrade auf OpenSSL 1.1.1k durchführen. OpenSSL 1.0.2 ist von diesem Problem nicht betroffen. Behoben in OpenSSL 1.1.1k (Betroffen sind 1.1.1-1.1.1j).


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
https://security.netapp.com/advisory/ntap-20210326-0006/
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fb9fa6b51defd48157eeb207f52181f735d96148
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fb9fa6b51defd48157eeb207f52181f735d96148
https://www.openssl.org/news/secadv/20210325.txt
https://www.openssl.org/news/secadv/20210325.txt
https://www.debian.org/security/2021/dsa-4875
https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc
http://www.openwall.com/lists/oss-security/2021/03/27/1
http://www.openwall.com/lists/oss-security/2021/03/27/2
http://www.openwall.com/lists/oss-security/2021/03/28/3
http://www.openwall.com/lists/oss-security/2021/03/28/4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449


Es ist möglich, einen Kommentar als registrierter Benutzer der Seite zu hinterlassen, über soziale Netzwerke, ein Wordpress-Konto oder als anonymer Benutzer zuzugreifen. Wenn Sie einen Kommentar als anonymer Benutzer hinterlassen möchten, werden Sie nur dann per E-Mail über eine mögliche Antwort benachrichtigt, wenn Sie Ihre E-Mail-Adresse angeben (optional). Die Angabe von Daten in den Kommentarfeldern ist völlig optional. Jeder, der sich entscheidet, Daten einzugeben, akzeptiert die Behandlung dieser für die Zwecke, die dem Service oder der Beantwortung des Kommentars und der Kommunikation unbedingt erforderlich sind.


Kommentar verfassen