Das OpenSSL-Projekt hat ein Update veröffentlicht, das acht Sicherheitslücken in der gleichnamigen Verschlüsselungssoftware schließen soll. Zwei Anfälligkeiten können einem Advisory zufolge Denial-of-Service-Angriffe erlauben. Im Gegensatz zur im vergangenen Jahr entdeckten Heartbleed-Lücke stuft OpenSSL das von den neuen Schwachstellen ausgehende Risiko lediglich als „mittel“ beziehungsweise „gering“ ein.
Trotz sollten Systemadministratoren ihre OpenSSL-Server-Instanzen in den kommenden Tagen aktualisieren, rät Tod Beardsley, Engineering Manager bei der Sicherheitsfirma Rapid7, in einer E-Mail an Computerworld. Die Sicherheitslecks seien in OpenSSL 1.0.1k, 1.0.0p und 0.9.8zd gestopft worden. „Um einen zuverlässigen Service aufrechtzuerhalten, sollte OpenSSL aktualisiert oder durch nicht betroffene SSL-Bibliotheken wie LibreSSL ersetzt werden.“
Die beiden DoS-Lücken mit den Kennungen CVE-2014-3571 und CVE-2015-0206 stecken dem Bericht zufolge nur in der OpenSSL-Implementierung des Protokolls Datagram Transport Layer Security (DTLS), das weniger weit verbreitet sei als Transport Layer Security (TLS). DTLS ermögliche eine verschlüsselte Kommunikation über Datagram-Protokolle wie UDP und werde vor allem für virtuelle private Netzwerke (VPN) und das Echtzeit-Kommunikationsprotokoll WebRTC verwendet.
Die anderen Patches betreffen TLS und können zu unerwartetem Verhalten führen, wenn beispielsweise OpenSSL mit der Option „no-ssl3“ verwendet wird. Ein anderer Fehler wiederum entfernt die Sicherheitstechnik Forward Secrecy. Das Update soll zudem verhindern, dass OpenSSL einen schwachen vorläufigen RSA-Schlüssel akzeptiert oder ein DH-Zertifikat verarbeitet, ohne dass es überprüft wurde, was eine Authentifizierung ohne privaten Schlüssel erlaubt.
Darüber hinaus weist das OpenSSL-Projekt darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum Jahresende eingestellt wird. „Danach erhalten diese Versionen keine Sicherheitsupdates mehr“, heißt es weiter in dem Advisory.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Praxis: Browser gegen Lücke in SSL 3.0 absichern
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Neueste Kommentare
Noch keine Kommentare zu OpenSSL patcht weitere acht Sicherheitslücken
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.