PHP schließt in neuen Versionen Lücken in OpenSSL
Posted 02/06/2015 at 15:32 by ID-Verifiziert
Die PHP-Gruppe hat neue Versionen der populären Skript-Sprache veröffentlicht und damit eine Reihe von Bugs beseitigt, unter anderem zwei in OpenSSL. Die jetzt in OpenSSL korrigierten Fehler sind nicht so schwerwiegend wie Heartbleed und andere, die in den letzten paar Monaten aus dem Boden geschossen sind. Doch die Versionen PHP 5.5.14 und 5.4.30 enthalten Korrekturen zweier Sicherheitslücken, von denen eine mit der Art zu tun hat, wie OpenSSL Zeitstempel auf einigen Zertifikaten verarbeitet. Die andere hat ebenfalls mit Zeitstempeln zu tun, allerdings auf eine andere Weise.
“Dieser Code ist Teil eines veralteten UTCTime-Parsers. Er verschiebt sich 2 Positionen nach links und wandelt die zwei Symbole in ganze Zahlen”, heißt es in dem Bug-Report für eine der OpenSSL-Schwachstellen.
“Trotzdem enthalten Zertifikate mit einer Gültigkeit nach 2050 einen von formatieren GeneralizedTime-Zeitstempel, der 4 Zeichen in dem Jahresfeld zulässt anstelle der UTCTime, die diese Funktion interpretiert.”
Die zweite OpenSSL-Sicherheitslücke liegt in der Art, wie PHP bestimmte Datumstypen für Zeitstempel behandelt. Ein speziell erstelltes Zertifikat kann Fehler hervorrufen.
“Dieses Zertifikat wurde von einem Windows 2003 Server erstellt. Man beachte, dass für die Zeit „gültig bis“ folgendes eingetragen wurde: “Jun 21 15:59:11 2109 GMT”. In openssl.c sucht PHP nach V_ASN1_UTCTIME, löst aber eine Warnung aus, wenn die Zeit lautet: V_ASN1_GENERALIZEDTIME. Einer kurzen Untersuchung des openssl-Quellcodes zufolge sind beides gültige Ausdrücke für die Gültigkeitsdauer eines Zertifikats“, heißt es in dem Bericht.
Neben den zwei OpenSSL-Sicherheitslücken, die in PHP 5.5.14 und 5.4.30 beseitigt wurden, gibt es eine Reihe von weiteren Korrekturen in den Neuveröffentlichungen, die aber größtenteils nicht sicherheitsrelevant sind.
“Dieser Code ist Teil eines veralteten UTCTime-Parsers. Er verschiebt sich 2 Positionen nach links und wandelt die zwei Symbole in ganze Zahlen”, heißt es in dem Bug-Report für eine der OpenSSL-Schwachstellen.
“Trotzdem enthalten Zertifikate mit einer Gültigkeit nach 2050 einen von formatieren GeneralizedTime-Zeitstempel, der 4 Zeichen in dem Jahresfeld zulässt anstelle der UTCTime, die diese Funktion interpretiert.”
Die zweite OpenSSL-Sicherheitslücke liegt in der Art, wie PHP bestimmte Datumstypen für Zeitstempel behandelt. Ein speziell erstelltes Zertifikat kann Fehler hervorrufen.
“Dieses Zertifikat wurde von einem Windows 2003 Server erstellt. Man beachte, dass für die Zeit „gültig bis“ folgendes eingetragen wurde: “Jun 21 15:59:11 2109 GMT”. In openssl.c sucht PHP nach V_ASN1_UTCTIME, löst aber eine Warnung aus, wenn die Zeit lautet: V_ASN1_GENERALIZEDTIME. Einer kurzen Untersuchung des openssl-Quellcodes zufolge sind beides gültige Ausdrücke für die Gültigkeitsdauer eines Zertifikats“, heißt es in dem Bericht.
Neben den zwei OpenSSL-Sicherheitslücken, die in PHP 5.5.14 und 5.4.30 beseitigt wurden, gibt es eine Reihe von weiteren Korrekturen in den Neuveröffentlichungen, die aber größtenteils nicht sicherheitsrelevant sind.
Total Comments 0
