News

PHP schließt in neuen Versionen Lücken in OpenSSL

Die PHP-Gruppe hat neue Versionen der populären Skript-Sprache veröffentlicht und damit eine Reihe von Bugs beseitigt, unter anderem zwei in OpenSSL. Die jetzt in OpenSSL korrigierten Fehler sind nicht so schwerwiegend wie Heartbleed und andere, die in den letzten paar Monaten aus dem Boden geschossen sind. Doch die Versionen PHP 5.5.14 und 5.4.30 enthalten Korrekturen zweier Sicherheitslücken, von denen eine mit der Art zu tun hat, wie OpenSSL Zeitstempel auf einigen Zertifikaten verarbeitet. Die andere hat ebenfalls mit Zeitstempeln zu tun, allerdings auf eine andere Weise.

“Dieser Code ist Teil eines veralteten UTCTime-Parsers. Er verschiebt sich 2 Positionen nach links und wandelt die zwei Symbole in ganze Zahlen”, heißt es in dem Bug-Report für eine der OpenSSL-Schwachstellen.

“Trotzdem enthalten Zertifikate mit einer Gültigkeit nach 2050 einen von formatieren GeneralizedTime-Zeitstempel, der 4 Zeichen in dem Jahresfeld zulässt anstelle der UTCTime, die diese Funktion interpretiert.”

Die zweite OpenSSL-Sicherheitslücke liegt in der Art, wie PHP bestimmte Datumstypen für Zeitstempel behandelt. Ein speziell erstelltes Zertifikat kann Fehler hervorrufen.

“Dieses Zertifikat wurde von einem Windows 2003 Server erstellt. Man beachte, dass für die Zeit „gültig bis“ folgendes eingetragen wurde: “Jun 21 15:59:11 2109 GMT”. In openssl.c sucht PHP nach V_ASN1_UTCTIME, löst aber eine Warnung aus, wenn die Zeit lautet: V_ASN1_GENERALIZEDTIME. Einer kurzen Untersuchung des openssl-Quellcodes zufolge sind beides gültige Ausdrücke für die Gültigkeitsdauer eines Zertifikats“, heißt es in dem Bericht.

Neben den zwei OpenSSL-Sicherheitslücken, die in PHP 5.5.14 und 5.4.30 beseitigt wurden, gibt es eine Reihe von weiteren Korrekturen in den Neuveröffentlichungen, die aber größtenteils nicht sicherheitsrelevant sind.

Quelle: Threatpost

PHP schließt in neuen Versionen Lücken in OpenSSL

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach