Patch schließt Man-in-the-Middle-Lücke in OpenSSL

von Stefan Beiersmann

Die Schwachstelle steckt nur in den Versionen 1.0.1n, 1.0.1o, 1.0.2b und 1.0.2c. Sie sind erst seit wenigen Wochen erhältlich und von daher nicht sehr weit verbreitet. Ein Angreifer könnte ein gefälschtes Zertifikat benutzen, um eine manipulierte Website als legitime Seite auszugeben. weiter

Erneut kritische Sicherheitslücke in OpenSSL entdeckt

von Stefan Beiersmann

Sie steckt in der Versionen 1.0.1 und 1.0.2. Die Lücke kann unter Umständen für Denial-of-Service-Angriffe oder das Einschleusen und Ausführen von Schadcode ausgenutzt werden. Am Donnerstag stellt das OpenSSL Project einen Patch für die Schwachstelle zur Verfügung. weiter

OpenSSL-Update schließt Logjam-Lücke

von Björn Greif

Sie resultierte aus einem Problem mit dem Diffie-Hellman-Schlüsselaustausch, das Angreifer zum Schwächen der Verschlüsselung von HTTPS-Verbindungen ausnutzen konnten. Durch den Fix werden Schlüssellängen unter 768 Bit abgelehnt. Außerdem hat das OpenSSL-Team noch sechs weitere Schwachstellen beseitigt. weiter

Kritisches Sicherheitsloch in OpenSSL gestopft

von Stefan Beiersmann

Es erlaubt Denial-of-Service-Angriffe. Das OpenSSL-Projekt schließt insgesamt zwölf Sicherheitslücken. Experten stufen sie aber als nicht so schwerwiegend ein wie die Heartbleed-Lücke. weiter

Schwere Sicherheitslücke in OpenSSL entdeckt

von Kai Schmerer

Details zu der Schwachstelle sind bisher nicht bekannt. Allerdings kündigt das OpenSSL-Project Updates für den 19. März an, die neben mindestens einer kritischen Schwachstelle weitere Sicherheitslücken schließen sollen. weiter

OpenSSL patcht weitere acht Sicherheitslücken

von Stefan Beiersmann

Sie ermöglichen unter anderem DoS-Angriffe. Davon betroffen ist allerdings nur die DTLS-Implementierung von OpenSSL, die für VPN und WebRTC verwendet wird. Ein anderer Fehler führt dazu, dass die Sicherheitstechnik Forward Secrecy entfernt wird. weiter

OpenBSD 5.6 ersetzt OpenSSL durch LibreSSL

von Björn Greif

Die neue SSL/TLS-Bibliothek wurde vom OpenBSD-Team als Reaktion auf die Unzulänglichkeiten von OpenSSL entwickelt, die durch den Heartbleed-Bug ans Licht kamen. Der Fork soll API-Kompatibilität bieten und verzichtet zur Vereinfachung auf nicht relevante Funktionen. weiter

Shellshock: Neuer Patch für Bash-Lücke in Linux und OS X veröffentlicht

von Stefan Beiersmann

Er beseitigt drei weitere Anfälligkeiten in der Open-Source-Shell. Sie sind allerdings nicht so schwerwiegend wie der ursprüngliche Shellshock genannte Bug. Eine neuseeländische IT-Sicherheitsfirma hat indes zahlreiche Scans nach Servern mit ungepatchten Bash-Versionen registriert. weiter

Noch 300.000 Server weltweit für Heartbleed anfällig

von Stefan Beiersmann

Seit Anfang April hat sich ihre Zahl etwa halbiert. Seit Ende Mai haben Websitebetreiber allerdings nur rund 9.000 Server gepatcht. Errata Security geht davon aus, dass es auch noch in zehn Jahren Server mit einer für Heartbleed anfällig OpenSSL-Version geben wird. weiter

Google kündigt OpenSSL-Fork „BoringSSL“ an

von Stefan Beiersmann

Es will das Projekt künftig in Chromium und Android integrieren. Google wurde nach eigenen Angaben die Pflege von OpenSSL für seinen Browser und das Mobil-OS zu aufwendig. Der Internetkonzern unterstützt weiterhin OpenBSD und auch LibreSSL. weiter

Android 4.4.4 beseitigt OpenSSL-Sicherheitslücken

von Kai Schmerer

Die Aktualisierung auf Android 4.4.4. wird bereits Over-the-Air (OTA) ausgeliefert. Factory-Images stehen für Nexus 5, 4, 7 und 10 ebenfalls bereit. Für das Nexus 7 2013 gibt es hingegen noch kein Update. weiter

Noch keine endgültige Entwarnung zur Heartbleed-Lücke

von Bernd Kling

Die meisten Betreiber haben inzwischen reagiert und ihre Webserver abgesichert - aber nicht alle. Sicherheitsforscher berichten von einem erfolgreichen Angriff auf ein VPN, bei dem Heartbleed benutzt wurde. Das BSI sieht weiteren Handlungsbedarf, da Angriffe nun zunehmend auf andere Systeme erfolgen, die OpenSSL einsetzen. weiter

Heartbleed: SANS Institute empfiehlt Heimanwendern „keine Panik“

von Florian Kalenda

Eile birgt die Gefahr, auf falsche Patches hereinzufallen. Ein Passwortwechsel ist "wahrscheinlich eine gute Idee", sollte aber besonnen durchgeführt werden. Sinnvoll sei die Installation eines Passwort-Managers. "Wenn Sie sich alle Passwörter merken müssen und das auch noch schaffen, sind Ihre Passwörter zu schwach." weiter

OpenSSL Software Foundation fordert mehr finanzielle Unterstützung

von Björn Greif

Steve Marquess, Präsident der OpenSSL Software Foundation, nimmt vor allem Unternehmen und Behörden in die Pflicht. Sie setzten OpenSSL wie selbstverständlich ein, ohne je einen Beitrag geleistet zu haben. Laut Marquess benötigt das Projekt mindestens ein halbes Dutzend Vollzeitkräfte. weiter