Login
Newsletter
Werbung

Di, 22. Januar 2019, 15:03

Software::Security

OpenSSL 1.1.1 besteht Sicherheitsaudit

OSTIF und Quarkslab haben OpenSSL einem Audit unterzogen, den die freie Software für Transport Layer Security bestanden hat.

OpenSSL

OSTIF, der Open Source Technology Improvement Fund, und das Sicherheitsunternehmen Quarkslab haben OpenSSL, die freie Software für Transport Layer Security, einem Audit unterzogen. Der Code-Review wurde von Private Internet Access und DuckDuckGo gesponsort. Besonderer Wert wurde auf in OpenSSL-Version 1.1.1 neu hinzugekommenen Code gelegt, dabei im Besonderen auf Funktionen von TLS 1.3 und den Änderungen am Pseudo Random Number Generator »PRNG«.

QuarksLab fand eine Reihe kleinerer Probleme, die alle vor der öffentlichen Freigabe von OpenSSL Version 1.1.1 im September 2018 behoben wurden. Zwei der Probleme hätten zu Client-seitigen Denial-of-Service-Schwachstellen geführt, bei denen ein Man-in-the-Middle-Angriff dazu führen konnte, dass durch das Senden ungültiger Informationen OpenSSL zum Absturz gebracht werden konnte.

Der neue Pseudozufallszahlengenerator in OpenSSL folgt der NIST-Standardimplementierung SP800-90A, hier bemängelten die Forscher die Codequalität, wenn es um die klare Definition von Funktionen sowie die Qualität der Kommentare ging. Auch hier konnte nachgebessert werden. Beanstandet wurde auch das SRP Authentication-Protokoll. Es ist zwar korrekt implementiert, aber die Codequalität konnte ebenfalls mit besseren Kommentaren und klareren Funktionen verbessert werden. Außerdem fehlte es SRP an einigen Rückgabewertprüfungen, die sicherstellen würden, dass sich die Werte in einem erwarteten Zustand befinden.

Das betraf auch den Code der CryptoAPI-Engine (CAPI), dem Kommentare fehlten, was den Code schwer verständlich machte. Technisch gab es hier nichts auszusetzen. Das Quarkslab-Team bemängelte zudem das generelle Fehlen von Null-Checks im Code von OpenSSL. Mit dieser Überprüfung soll beispielsweise sichergestellt werden, dass Zeiger tatsächlich auf eine gültige Instanz eines Typs zeigen. Das OpenSSL-Entwicklungsteam lässt aus Leistungsgründen absichtlich Nullüberprüfungen mit der Begründung aus, es existierten keine bekannten Möglichkeiten, Nullwerte in OpenSSL zu übergeben, die zu Schwachstellen führen könnten.

Werbung
Kommentare (Insgesamt: 3 || Alle anzeigen || Kommentieren )
Re[2]: Nullwerte (irgendwer, Do, 24. Januar 2019)
Re: Nullwerte (Verfluchtnochmal_5987109, Mi, 23. Januar 2019)
Nullwerte (irgendwer, Di, 22. Januar 2019)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung