OpenSSL

Updates beseitigen Schwachstellen

Mit der Veröffentlichung der Versionen 0.9.8q und 1.0.0c haben die Entwickler zwei Schwachstellen von OpenSSL beseitigt. Eine Schwachstelle betrifft die Ciphersuite in der TLS-/SSL-Schicht und ist in allen Versionen in der freien Implementierung des TLS-/SSL-Protokolls vorhanden.

Anzeige

Die Schwachstelle in der Ciphersuite von OpenSSL ermöglicht es einem Angreifer, den Cache einer gespeicherten Sitzung zu modifizieren und den Algorithmus einer verschlüsselten Datenverbindung auf einen schwächeren herunterzusetzen. Damit vereinfacht sich das Knacken einer sicheren Verbindung.

Die Entwickler haben die Schwachstelle beseitigt, indem sie die Option "SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG" deaktiviert haben, die der Kompatibilität zu Netscape-Browsern dient. Anwender können ihre OpenSSL-Versionen mit der abgeschalteten Option kompilieren. Alternativ kann noch die Option "SSL_OP_ALL" deaktiviert werden.

In Version 0.9.8j ist die Schwachstelle zwar vorhanden, allerdings kann dort ein Angreifer nur zu einem gleich starken Algorithmus wechseln. Benutzer der 0.9.8er Versionen sollten auf 0.9.8q aktualisieren. Benutzer von Version 1.0.0 sollten künftig die Version 1.0.0c verwenden.

Version 1.0.0c enthält auch Reparaturen für die Schwachstelle in dem J-Pake-Protokoll (Password Authenticated Key Exchange by Juggling). Über die Schwachstelle könnte sich ein Angreifer auch ohne Kenntnis des verwendeten geheimen Schlüssels legitimieren. J-Pake wird in OpenSSL nicht standardmäßig aktiviert, sondern muss explizit ausgewählt werden.

Die entsprechenden Patches haben die Entwickler auf ihrer Webseite veröffentlicht. Der Quellcode der reparierten Versionen liegt auf den Servern des Projekts zum Download bereit.


Kommentieren



Anzeige

  1. Senior Referent / Senior Referentin Data Intelligence und Customer Insights
    Flughafen München GmbH, München
  2. Project Manager / Project Coordinator International (m/w)
    afb Application Services AG, München
  3. Kampagnen-Manager SEO / SEM / Junior Kampagnen-Manager (m/w)
    KIM Krick Interactive Media GmbH, Eibelstadt
  4. Softwareentwickler (m/w) C++
    BCC Unternehmensberatung GmbH, Eschborn bei Frankfurt am Main

 

Detailsuche


Spiele-Angebote
  1. Games-Downloads Angebote
    (u. a. Bioshock Infinite 7,49€, Xcom Enemy Unknown 4,99€, Boderlands 2 7,49€)
  2. PlayStation 4 - Konsole Ultimate Player 1TB Edition
    399,00€ - Release 15.07.
  3. PS4-Spiele reduziert
    (u. a. Lego der Hobbit 26,72€, The Crew 29,19€, Assassins Creed Unity 29,19€, The Wolf Among...

 

Weitere Angebote


Folgen Sie uns
       


  1. Timesyncd

    Systemd soll Googles Zeitserver nicht mehr verwenden

  2. DAB+

    WDR schaltet seine Mittelwellensender ab

  3. Apple Music

    Beats 1 kann auch mit Android-Geräten gehört werden

  4. Her Story

    Bei Mausklick Mord

  5. Android-Update

    Medion bringt Lollipop auf vier Tablets

  6. Bewerberplattform

    IT-Gehaltserwartung in deutschen Startups liegt bei 43.000 Euro

  7. First Flight

    Sony stellt Crowdfunding-Plattform für eigene Ideen vor

  8. Prandtl-m

    Nasa will den Mars mit einem Gleitflugzeug erkunden

  9. Turtle-Entertainment-Übernahme

    MTG Media investiert 78 Millionen Euro in E-Sport

  10. Intel Compute Stick im Test

    Der mit dem Lüfter streamt



Haben wir etwas übersehen?

E-Mail an news@golem.de



IMHO: DNSSEC ist gescheitert
IMHO
DNSSEC ist gescheitert

Pebble Time im Test: Nicht besonders smart, aber watch
Pebble Time im Test
Nicht besonders smart, aber watch
  1. Smartwatch Pebble Time kostet außerhalb von Kickstarter 250 Euro
  2. Smartwatch Apple gibt iOS-App für die Pebble Time frei
  3. Smartwatch Pebbles iOS-App wird von Apple nicht freigegeben

Radeon R9 Fury X im Test: AMDs Wasserzwerg schlägt Nvidias Titan in 4K
Radeon R9 Fury X im Test
AMDs Wasserzwerg schlägt Nvidias Titan in 4K
  1. Radeon R9 390 im Test AMDs neue alte Grafikkarten bekommen einen Nitro-Boost
  2. Grafikkarte AMDs neue R7- und R9-Modelle sind beschleunigte Vorgänger
  3. Grafikkarte AMD kündigt Radeon R9 Fury X und R9 Nano an

  1. Re: Schade um Scrolls

    TheUnichi | 17:11

  2. Re: StartUp und ich könnte kotzen

    dadampa | 17:09

  3. Re: unverschlüsselter Stream

    Tzven | 17:08

  4. Wäre mit Ubuntu und 2 GB RAM toll!

    chris109 | 17:07

  5. Re: Unterbezahlt, Überstunden, Ausgebeutet?

    poseyydon | 17:06


  1. 16:55

  2. 16:33

  3. 16:05

  4. 15:22

  5. 15:04

  6. 14:55

  7. 13:53

  8. 13:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel