Gefälschte OpenSSL-Signaturen
Projekt hat bereits Updates veröffentlicht
Signaturen der freien SSL- und TLS-Implementierung OpenSSL lassen sich fälschen. Davon betroffen sind alle Systeme, auf denen die OpenSSL-Bibliotheken vorhanden sind. Updates, die den Fehler beseitigen, sind bereits verfügbar.
Laut Sicherheitsmeldung tritt der Fehler nur auf, wenn Certificate-Authority-RSA-Schlüssel mit dem Exponenten 3 und X.509-Zertifikat verwendet werden. In diesem Fall lassen sich Signaturen fälschen, so dass prinzipiell jedes System mit OpenSSL-Bibliotheken betroffen ist.
Solche Zertifikate sollen laut Meldung des Projektes häufig im Einsatz sein, wie genau die Verwendung festgestellt werden kann, wird hingegen nicht verraten. Betroffen sind alle OpenSSL-Versionen bis einschließlich 0.9.7j und 0.9.8b. Das OpenSSL-Projekt bietet jedoch schon Updates für ältere Versionen sowie die neuen Veröffentlichungen 0.9.7k und 0.9.8c an, die den Fehler beheben. Ein Update empfiehlt sich für alle Anwender von OpenSSL, da die Implementierung andernfalls gefälschte Signaturen akzeptiert.
Die neuen Versionen stehen ab sofort unter openssl.org zum Download bereit.
Und welcher "Anspruch" soll das sein? Ich habe einige Megabyte an "vorherigen" Aussagen...
Deinem? Deine vorige Aussage? Nichts, es paßt nur nicht zusammen.
Anspruch? Von welchem Anspruch redest Du? Und welchen unpassenden Zusammenhang siehst Du...
Entspann dich. Open Source ist fuer sich kein Qualitaetsmerkmal, weder in die eine noch...
Könntest Du mal darlegen, wie Dein Anspruch auf Toleranz und Respekt mit Deinem obigen...
Kommentieren