Das OpenSSL-Projekt hat ein Update veröffentlicht, das acht Sicherheitslücken in der gleichnamigen Verschlüsselungssoftware schließen soll. Zwei Anfälligkeiten können einem Advisory zufolge Denial-of-Service-Angriffe erlauben. Im Gegensatz zur im vergangenen Jahr entdeckten Heartbleed-Lücke stuft OpenSSL das von den neuen Schwachstellen ausgehende Risiko lediglich als „mittel“ beziehungsweise „gering“ ein.
Trotz sollten Systemadministratoren ihre OpenSSL-Server-Instanzen in den kommenden Tagen aktualisieren, rät Tod Beardsley, Engineering Manager bei der Sicherheitsfirma Rapid7, in einer E-Mail an Computerworld. Die Sicherheitslecks seien in OpenSSL 1.0.1k, 1.0.0p und 0.9.8zd gestopft worden. „Um einen zuverlässigen Service aufrechtzuerhalten, sollte OpenSSL aktualisiert oder durch nicht betroffene SSL-Bibliotheken wie LibreSSL ersetzt werden.“
Die beiden DoS-Lücken mit den Kennungen CVE-2014-3571 und CVE-2015-0206 stecken dem Bericht zufolge nur in der OpenSSL-Implementierung des Protokolls Datagram Transport Layer Security (DTLS), das weniger weit verbreitet sei als Transport Layer Security (TLS). DTLS ermögliche eine verschlüsselte Kommunikation über Datagram-Protokolle wie UDP und werde vor allem für virtuelle private Netzwerke (VPN) und das Echtzeit-Kommunikationsprotokoll WebRTC verwendet.
Die anderen Patches betreffen TLS und können zu unerwartetem Verhalten führen, wenn beispielsweise OpenSSL mit der Option „no-ssl3“ verwendet wird. Ein anderer Fehler wiederum entfernt die Sicherheitstechnik Forward Secrecy. Das Update soll zudem verhindern, dass OpenSSL einen schwachen vorläufigen RSA-Schlüssel akzeptiert oder ein DH-Zertifikat verarbeitet, ohne dass es überprüft wurde, was eine Authentifizierung ohne privaten Schlüssel erlaubt.
Darüber hinaus weist das OpenSSL-Projekt darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum Jahresende eingestellt wird. „Danach erhalten diese Versionen keine Sicherheitsupdates mehr“, heißt es weiter in dem Advisory.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
