Categories: SicherheitSicherheitsmanagement

Patch schließt Man-in-the-Middle-Lücke in OpenSSL

Das OpenSSL-Project hat wie angekündigt ein Sicherheitsupdate für die Verschlüsselungsbibliothek OpenSSL veröffentlicht. Die Schwachstelle, die Man-in-the-Middle-Angriffe erlaubt, wird allerdings noch nicht aktiv ausgenutzt. Betroffen sind auch nur die seit Juni erhältlichen Versionen 1.0.1n , 1.0.1o, 1.0.2b und 1.0.2c.

Wie Threatpost berichtet, könnte sich ein Angreifer als eine Certificate Authority ausgeben und ein gefälschtes TLS-Zertifikat ausstellen. Mithilfe des falschen Zertifikats sei es dann möglich, eine manipulierte Website als eine legitime Website auszugeben. Ursache seien fehlende Sicherheitsprüfungen für neue oder nicht vertrauenswürdige Zertifikate.

„Das ist ein schlimmer Fehler, der aber nur diejenigen betrifft, die das Release aus Juni installiert haben“, zitiert Threatpost Rich Salz, Mitglied des OpenSSL Development Team. „Der Bug wurde mit diesem Update eingeführt und betrifft nur relativ wenige Organisationen.“

Entdeckt wurde die Lücke von Entwicklern von BoringSSL – Googles eigner Open-Source-SSL-Software. Sie ist allerdings nicht als Ersatz für OpenSSL gedacht, weil ihr Application Programming Interface (ABI) und auch ihr Application Binary Interface für einen Einsatz in Sicherheitsprogrammen noch nicht stabil genug sind.

Schwachstellen wie diese zeigen leider auch, dass den Entwicklern von weit verbreiteten Open-Source-Technologien oft keine ausreichenden finanziellen Mittel zur Verfügung stehen. Sie sind beispielsweise nicht in der Lage, wie Google und andere Technologiefirmen Prämien für die Entdeckung von Sicherheitslücken zu zahlen.

OpenSSL war im vergangenen Jahr durch die Heartbleed genannte Anfälligkeit in das Interesse der Öffentlichkeit gerückt. Sie gibt Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten könnte ein Angreifer kritische Informationen auslesen und den Server sogar gegenüber Dritten verkörpern, indem er sich den Schlüssel des Originalservers verschafft. Als Reaktion darauf hatte Google dann auch das Projekt BoringSSL ins Leben gerufen, um den Aufwand zu reduzieren, der durch Patches für OpenSSL entsteht.

[mit Material von Tom Jowitt, TechWeekEurope]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: Open SourceSecure-ITSicherheitVerschlüsselung
9 Jahren ago

Recent Posts

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

14 Stunden ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

15 Stunden ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

16 Stunden ago

Adobe schließt neun kritische Lücken in Reader und Acrobat

Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…

24 Stunden ago

Fabrikautomatisierung: Siemens integriert SPS-Ebene

Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.

1 Tag ago

Ebury-Botnet infiziert 400.000 Linux-Server weltweit

Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.

2 Tagen ago