Sicherheitslücke in SSL-Bibliotheken

Neue Version und Patch bereits erhältlich

Die freie SSL-Implementierung OpenSSL enthält eine Sicherheitslücke, die es Angreifern ermöglicht, Usernamen und Passwörter auszuspionieren. Sowohl Patches als auch neue Versionen von OpenSSL, die das Problem beheben, sind bereits erschienen.

Anzeige

Entdeckt wurde das Problem von Brice Canvel (EPFL), Alain Hiltgen (UBS), Serge Vaudenay (EPFL) und Martin Vuagnoux (EPFL, Ilion), das über eine "Zeit-basierte Attacke" ausgenutzt werden kann. Schuld ist das Verhalten der SSL/TLS-Implementierung bei gefälschten Paketen. Zwar werden solche Pakete abgelehnt, aber ein Angreifer könnte durch Überwachung des zeitlichen Antwortverhaltens Rückschlüsse auf zwei unterschiedliche Fehlermeldungen ziehen.

Die neuen OpenSSL-Implementierungen OpenSSL 0.9.6i und 0.9.7a beheben das Problem und können unter www.openssl.org heruntergeladen werden. Allerdings könnte die Problematik auch in anderen SSL/TLS-Implementierungen auftauchen, die mitunter direkt in E-Banking oder E-Commerce-Applikationen integriert sind, so dass ein einfacher Austausch der SSL-Bibliotheken nicht hilft.


Uwe 21. Feb 2003

Betrifft das auch Mozilla oder ander Implementierungen in der OpenSource Szene?

Kommentieren



Anzeige

  1. IT-Projektleiter/in (SAP)
    Landeshauptstadt München, München
  2. Senior Manager CRM (m/w)
    Kontron AG, Augsburg
  3. Technischer Redakteur (m/w) für Softwaredokumentation
    Teradata GmbH, München
  4. Abteilungsleiter/in
    Robert Bosch GmbH, Renningen

 

Detailsuche


Folgen Sie uns
       

  1. 2Play Premium 200

    Unitymedia KabelBW bietet 200 MBit/s für 35 Euro

  2. Fabric

    Twitter stellt eigenes Delevoper-Kit vor

  3. Inbox

    Google erfindet die E-Mail neu

  4. Pangu 1.0.1

    Jailbreak für iOS 8.1

  5. Gratiseinwilligung für Google

    Verlage knicken beim Leistungsschutzrecht ein

  6. John Riccitiello

    Ex-EA-Chef ist neuer Boss von Unity Technologies

  7. Android Wear

    Moto 360 und G Watch erhalten Update

  8. Digitale Dividende II

    Bundesnetzagentur will DVB-T ab April 2015 beenden

  9. Security

    Gefährliche Schwachstellen im UEFI-Bios

  10. Broadcom

    Chips für Router mit G.Fast sind fertig



Haben wir etwas übersehen?

E-Mail an news@golem.de



Spacelift: Der Fahrstuhl zu den Sternen
Spacelift
Der Fahrstuhl zu den Sternen
  1. Geheimmission im All Militärdrohne X-37B nach Langzeiteinsatz gelandet
  2. Raumfahrt Indische Sonde Mangalyaan erreicht den Mars
  3. Raumfahrt Asteroidensonde Hayabusa-2 ist startklar

3D-Druck ausprobiert: Internetausdrucker 4.0
3D-Druck ausprobiert
Internetausdrucker 4.0
  1. Niedriger Schmelzpunkt 3D-Drucken mit metallischer Tinte
  2. Deltadrucker Magna Japanisches Unternehmen zeigt Riesen-3D-Drucker
  3. 3D-Technologie US-Armee will Sprengköpfe drucken

Qubes OS angeschaut: Abschottung bringt mehr Sicherheit
Qubes OS angeschaut
Abschottung bringt mehr Sicherheit

    •  / 
    Zum Artikel