OpenSSL-Update soll Drown-Attacken vereiteln

Das Angriffsverfahren stellen universitäre Forscher und Open-Source-Entwickler vor. Es ermöglicht zwei Arten Angriffe. Der allgemeinere kann auf jeden Server angewandt werden, der grundsätzlich SSL 2.0 unterstützt - etwa ein Drittel oder etwa 11,5 Millionen Webserver weltweit. weiter

Schwere Sicherheitslücke in OpenSSL geschlossen

Ein Angreifer kann unter Umständen den privaten Teil eines Schlüssels ausspähen. Davon ist allerdings nur die Version 1.0.2 betroffen. Der Patch wirkt sich aber möglicherweise negativ auf die Performance eines TLS-Servers aus. weiter

Patch schließt Man-in-the-Middle-Lücke in OpenSSL

Die Schwachstelle steckt nur in den Versionen 1.0.1n, 1.0.1o, 1.0.2b und 1.0.2c. Sie sind erst seit wenigen Wochen erhältlich und von daher nicht sehr weit verbreitet. Ein Angreifer könnte ein gefälschtes Zertifikat benutzen, um eine manipulierte Website als legitime Seite auszugeben. weiter

Erneut kritische Sicherheitslücke in OpenSSL entdeckt

Sie steckt in der Versionen 1.0.1 und 1.0.2. Die Lücke kann unter Umständen für Denial-of-Service-Angriffe oder das Einschleusen und Ausführen von Schadcode ausgenutzt werden. Am Donnerstag stellt das OpenSSL Project einen Patch für die Schwachstelle zur Verfügung. weiter

OpenSSL-Update schließt Logjam-Lücke

Sie resultierte aus einem Problem mit dem Diffie-Hellman-Schlüsselaustausch, das Angreifer zum Schwächen der Verschlüsselung von HTTPS-Verbindungen ausnutzen konnten. Durch den Fix werden Schlüssellängen unter 768 Bit abgelehnt. Außerdem hat das OpenSSL-Team noch sechs weitere Schwachstellen beseitigt. weiter

Kritisches Sicherheitsloch in OpenSSL gestopft

Es erlaubt Denial-of-Service-Angriffe. Das OpenSSL-Projekt schließt insgesamt zwölf Sicherheitslücken. Experten stufen sie aber als nicht so schwerwiegend ein wie die Heartbleed-Lücke. weiter

Schwere Sicherheitslücke in OpenSSL entdeckt

Details zu der Schwachstelle sind bisher nicht bekannt. Allerdings kündigt das OpenSSL-Project Updates für den 19. März an, die neben mindestens einer kritischen Schwachstelle weitere Sicherheitslücken schließen sollen. weiter

OpenSSL patcht weitere acht Sicherheitslücken

Sie ermöglichen unter anderem DoS-Angriffe. Davon betroffen ist allerdings nur die DTLS-Implementierung von OpenSSL, die für VPN und WebRTC verwendet wird. Ein anderer Fehler führt dazu, dass die Sicherheitstechnik Forward Secrecy entfernt wird. weiter

OpenBSD 5.6 ersetzt OpenSSL durch LibreSSL

Die neue SSL/TLS-Bibliothek wurde vom OpenBSD-Team als Reaktion auf die Unzulänglichkeiten von OpenSSL entwickelt, die durch den Heartbleed-Bug ans Licht kamen. Der Fork soll API-Kompatibilität bieten und verzichtet zur Vereinfachung auf nicht relevante Funktionen. weiter

Shellshock: Neuer Patch für Bash-Lücke in Linux und OS X veröffentlicht

Er beseitigt drei weitere Anfälligkeiten in der Open-Source-Shell. Sie sind allerdings nicht so schwerwiegend wie der ursprüngliche Shellshock genannte Bug. Eine neuseeländische IT-Sicherheitsfirma hat indes zahlreiche Scans nach Servern mit ungepatchten Bash-Versionen registriert. weiter

Noch 300.000 Server weltweit für Heartbleed anfällig

Seit Anfang April hat sich ihre Zahl etwa halbiert. Seit Ende Mai haben Websitebetreiber allerdings nur rund 9.000 Server gepatcht. Errata Security geht davon aus, dass es auch noch in zehn Jahren Server mit einer für Heartbleed anfällig OpenSSL-Version geben wird. weiter

Google kündigt OpenSSL-Fork „BoringSSL“ an

Es will das Projekt künftig in Chromium und Android integrieren. Google wurde nach eigenen Angaben die Pflege von OpenSSL für seinen Browser und das Mobil-OS zu aufwendig. Der Internetkonzern unterstützt weiterhin OpenBSD und auch LibreSSL. weiter

Android 4.4.4 beseitigt OpenSSL-Sicherheitslücken

Die Aktualisierung auf Android 4.4.4. wird bereits Over-the-Air (OTA) ausgeliefert. Factory-Images stehen für Nexus 5, 4, 7 und 10 ebenfalls bereit. Für das Nexus 7 2013 gibt es hingegen noch kein Update. weiter

Noch keine endgültige Entwarnung zur Heartbleed-Lücke

Die meisten Betreiber haben inzwischen reagiert und ihre Webserver abgesichert - aber nicht alle. Sicherheitsforscher berichten von einem erfolgreichen Angriff auf ein VPN, bei dem Heartbleed benutzt wurde. Das BSI sieht weiteren Handlungsbedarf, da Angriffe nun zunehmend auf andere Systeme erfolgen, die OpenSSL einsetzen. weiter

Heartbleed: SANS Institute empfiehlt Heimanwendern „keine Panik“

Eile birgt die Gefahr, auf falsche Patches hereinzufallen. Ein Passwortwechsel ist "wahrscheinlich eine gute Idee", sollte aber besonnen durchgeführt werden. Sinnvoll sei die Installation eines Passwort-Managers. "Wenn Sie sich alle Passwörter merken müssen und das auch noch schaffen, sind Ihre Passwörter zu schwach." weiter