Sicherheitslücke in SSL-Bibliotheken

Neue Version und Patch bereits erhältlich

Die freie SSL-Implementierung OpenSSL enthält eine Sicherheitslücke, die es Angreifern ermöglicht, Usernamen und Passwörter auszuspionieren. Sowohl Patches als auch neue Versionen von OpenSSL, die das Problem beheben, sind bereits erschienen.

Anzeige

Entdeckt wurde das Problem von Brice Canvel (EPFL), Alain Hiltgen (UBS), Serge Vaudenay (EPFL) und Martin Vuagnoux (EPFL, Ilion), das über eine "Zeit-basierte Attacke" ausgenutzt werden kann. Schuld ist das Verhalten der SSL/TLS-Implementierung bei gefälschten Paketen. Zwar werden solche Pakete abgelehnt, aber ein Angreifer könnte durch Überwachung des zeitlichen Antwortverhaltens Rückschlüsse auf zwei unterschiedliche Fehlermeldungen ziehen.

Die neuen OpenSSL-Implementierungen OpenSSL 0.9.6i und 0.9.7a beheben das Problem und können unter www.openssl.org heruntergeladen werden. Allerdings könnte die Problematik auch in anderen SSL/TLS-Implementierungen auftauchen, die mitunter direkt in E-Banking oder E-Commerce-Applikationen integriert sind, so dass ein einfacher Austausch der SSL-Bibliotheken nicht hilft.


Uwe 21. Feb 2003

Betrifft das auch Mozilla oder ander Implementierungen in der OpenSource Szene?

Kommentieren



Anzeige

  1. Mitarbeiter (m/w) Organisation und IT
    Johann Grohmann GmbH & Co. KG, Bisingen
  2. Software-Entwickler (m/w) Embedded Systems
    Gebrüder Frei GmbH & Co., Albstadt
  3. Content Manager/in
    Erich Schmidt Verlag GmbH & Co. KG, Berlin
  4. Java Software Developer (m/w)
    afb Application Services AG, München

 

Detailsuche


Folgen Sie uns
       

  1. Spiele-API

    DirectX-11 wird parallel zu DirectX-12 weiterentwickelt

  2. Streaming-Box

    Netflix noch im Herbst für Amazons Fire TV

  3. Schnell, aber ungenau

    Roboter springt im Explosionsschritt

  4. Urteil

    Foxconn-Arbeiter wegen iPhone-6-Diebstahl verhaftet

  5. Weniger Consumer-Notebooks

    Toshiba baut 900 Arbeitsplätze in der PC-Sparte ab

  6. XSS

    Cross-Site-Scripting über DNS-Records

  7. Venue 8 7000

    6-mm-Tablet wird mit Dell Cast zum Desktop

  8. HTML5-Videostreaming

    Netflix arbeitet an Linux-Unterstützung

  9. iPhone 6 und iPhone 6 Plus im Test

    Aus klein mach groß und größer

  10. Cloudflare

    TLS-Verbindungen ohne Schlüssel sollen Banken schützen



Haben wir etwas übersehen?

E-Mail an news@golem.de



DDR-Hackerfilm Zwei schräge Vögel: Mit Erotik und Kybernetik ins perfekte Chaos
DDR-Hackerfilm Zwei schräge Vögel
Mit Erotik und Kybernetik ins perfekte Chaos
  1. Zoobotics Vier- und sechsbeinige Pappkameraden
  2. Miraisens Virtuelle Objekte werden ertastbar
  3. Autodesk Pteromys konstruiert Papiergleiter am Computer

Rezension What If: Ein Highlight der Nerdkultur vom XKCD-Autor
Rezension What If
Ein Highlight der Nerdkultur vom XKCD-Autor
  1. Transistoren Rechnen nach dem Schmetterlingsflügel-Prinzip
  2. MIT-Algorithmus Wie rotiert Schrott in Schwerelosigkeit?
  3. Neues Verfahren Yale-Forscher formt Smartphone-Hüllen aus metallischem Glas

IMHO: Microsoft kauft sich einen Markt mit Klötzchen
IMHO
Microsoft kauft sich einen Markt mit Klötzchen
  1. Minecraft Microsoft kauft Mojang
  2. Minecraft Microsoft will offenbar Mojang kaufen
  3. Minecraft New-Gen-Klötzchenwelt mit 1080p und 60 fps

    •  / 
    Zum Artikel