tom's networking guide
 
Anzeige
O'Reilly: Update für zwei TYPO3-Klassiker >
< Digitalstrom: Automatischer Schutz dank Unwetter-Warner
10.06.14 09:48 Alter: 6 Jahre
Kategorie: Unternehmens-News, Heim-Anwender, KMU, SOHO, Gamer, Verschlüsselung, Sicherheit
Von: Maurice Hempel

OpenSSL: Neue Sicherheitslücken in der Krypto-Bibliothek gefixt

Das Entwickler-Team des Open-Source-Projekts schließt sieben bekannte Sicherheitslücken und empfiehlt, betroffene Versionen zu aktualisieren.


OpenSSL Logo

OpenSSL Logo

München – Das Open-SSL-Team (Secure Sockets Layer) hat sieben weitere Sicherheitslücken geschlossen. Mindestens eine davon soll es ermöglicht haben, den Datenverkehr unautorisiert zu entschlüsseln. Das OpenSSL-Team hatte nach Bekanntwerden des Heartbleed-Bugs im vergangenen April begonnen, die Krypto-Bibliothek zu überarbeiten. Heartbleed erlaubte es, mit geringem Aufwand die verschlüsselten Datenströme zu entschlüsseln und somit vertrauliche Informationen auszulesen.

Mit der neuen Version der Bibliothek konnten die Entwickler gleich mehrere Sicherheitslücken schließen. Über eine der nun geschlossenen Lücken (CVE-2014-0224) soll ein Man-in-the-Middle-Angriff möglich gewesen sein. Dabei konnte die Verbindung so manipuliert werden, dass die Software auf älteres, knackbares Schlüsselmaterial zurückgreift. Dies sei laut Open-SSL jedoch nur dann möglich, wenn Server und Client dieselbe anfällige Version nutzen.

Weitere Lücken betreffen das DTSL-Protokoll (Datagram Transport Layer Security). Bei diesem Transport-Protokoll handelt es sich um ein TLS-basiertes Protokoll, das anders als TLS (Transport Layer Security) ebenso über das unsicherere UDP (User Datagram Protocol) übertragen werden kann. Bei UDP kann eine Übertragung ohne vorherigen Verbindungsaufbau erfolgen. Betroffene OpenSSL-Versionen erlauben das Ausführen von Schadcode über die DTLS-Schnittstelle auf Client und Server (CVE-2014-0195) oder können den Client gar zum Absturz bringen (CVE-2014-0221). Durch eine weitere Sicherheitslücke (CVE-2014-3470) kann es zu einem DoS-Angriff (Denial of Service) beziehungsweise UDP-Flood kommen. Dies ist jedoch nur dann möglich, wenn der Anwender das Schüsselaustausch-Verfahren ECDH (Elliptic Curve Diffie-Hellman), das auf Elliptic Curve Cryptography (ECC) basiert, ohne Authentifizierung verwendet.

OpenSSL-Versionen, die mit der Option SSL_MODE_RELEASE_BUFFER laufen, lassen sich durch die Sicherheits-Lücken CVE-2014-0198 und CVE-2010-5298 ebenfalls zum Absturz bringen, jedoch sei die Option laut den OpenSSL-Entwicklern ab Werk deaktiviert. Eine weitere Sicherheitslücke wurde bereits in einem früheren Patch im April 2014 geschlossen. Die drei betroffenen OpenSSL-Versionen sind OpenSSL 0.9.8 SSL/TLS, OpenSSL 1.0.0 SSL/TLS und OpenSSL 1.0.1 SSL/TLS  (jeweils Server und Client). Benutzer der genannten Versionen sollten das System auf die neuen Versionen 0.9.8za, 1.0.0m und 1.0.1h  aktualisieren. Das gilt ebenso für Nutzer, die OpenSSL in Verbindung mit dem DTSL-Protokoll verwenden.

Eine detaillierte Übersicht der betroffenen Versionen und der empfohlenen Aktualisierungen finden Sie auf der OpenSSL-Webseite.


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige