OpenSSL

Updates beseitigen Schwachstellen

Mit der Veröffentlichung der Versionen 0.9.8q und 1.0.0c haben die Entwickler zwei Schwachstellen von OpenSSL beseitigt. Eine Schwachstelle betrifft die Ciphersuite in der TLS-/SSL-Schicht und ist in allen Versionen in der freien Implementierung des TLS-/SSL-Protokolls vorhanden.

Anzeige

Die Schwachstelle in der Ciphersuite von OpenSSL ermöglicht es einem Angreifer, den Cache einer gespeicherten Sitzung zu modifizieren und den Algorithmus einer verschlüsselten Datenverbindung auf einen schwächeren herunterzusetzen. Damit vereinfacht sich das Knacken einer sicheren Verbindung.

Die Entwickler haben die Schwachstelle beseitigt, indem sie die Option "SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG" deaktiviert haben, die der Kompatibilität zu Netscape-Browsern dient. Anwender können ihre OpenSSL-Versionen mit der abgeschalteten Option kompilieren. Alternativ kann noch die Option "SSL_OP_ALL" deaktiviert werden.

In Version 0.9.8j ist die Schwachstelle zwar vorhanden, allerdings kann dort ein Angreifer nur zu einem gleich starken Algorithmus wechseln. Benutzer der 0.9.8er Versionen sollten auf 0.9.8q aktualisieren. Benutzer von Version 1.0.0 sollten künftig die Version 1.0.0c verwenden.

Version 1.0.0c enthält auch Reparaturen für die Schwachstelle in dem J-Pake-Protokoll (Password Authenticated Key Exchange by Juggling). Über die Schwachstelle könnte sich ein Angreifer auch ohne Kenntnis des verwendeten geheimen Schlüssels legitimieren. J-Pake wird in OpenSSL nicht standardmäßig aktiviert, sondern muss explizit ausgewählt werden.

Die entsprechenden Patches haben die Entwickler auf ihrer Webseite veröffentlicht. Der Quellcode der reparierten Versionen liegt auf den Servern des Projekts zum Download bereit.


Kommentieren



Anzeige

  1. Project Manager (m/w)
    p3b ag, Winterthur (Schweiz)
  2. IT-Spezialist/-in für Anwendungs­administration
    Dataport, Hamburg oder Bremen
  3. IT-Systemtechniker (m/w)
    PFALZKOM | MANET, Ludwigshafen
  4. Leiter/in Kundenbetreuungsbereich Software-Portfoliomanagement
    Landeshauptstadt München, München

 

Detailsuche


Folgen Sie uns
       


  1. Thaw

    Das Smartphone schnappt Dateien vom Bildschirm

  2. Threshold

    Beta von Windows 9 erst im Oktober 2014, aber mit Startmenü

  3. Neue AGB

    Kickstarter klärt Regeln für gescheiterte Projekte

  4. Handelsplattform

    Datenschützer warnt vor Alibaba

  5. Playstation

    Remote-Play-Funktion für viele Android-Geräte portiert

  6. Apple

    10 Millionen neue iPhones am ersten Wochenende verkauft

  7. Deutsche Post

    Sicherheitslücke in Sendungsverfolgung von DHL

  8. Star-Wars-Dreharbeiten

    Drohnenabwehr gegen übermütige Fans

  9. Asus Vivo Tab 8

    Windows-Tablet mit 8-Zoll-Display kommt für 200 Euro

  10. Test Wasteland 2

    Abenteuer in der postnuklearen Textwüste



Haben wir etwas übersehen?

E-Mail an news@golem.de



Ascend Mate 7 im Test: Huaweis fast makelloses Topsmartphone
Ascend Mate 7 im Test
Huaweis fast makelloses Topsmartphone
  1. Cloud Congress 2014 Huawei verkauft Intel-Standardserver nur als Türöffner
  2. Huawei Cloud Congress Huawei will weltweit der führende IT-Konzern werden
  3. Ascend G7 Huawei-Smartphone mit 13-Megapixel-Kamera für 300 Euro

Onlinebestellung: Media Markt eröffnet ersten Drive-in
Onlinebestellung
Media Markt eröffnet ersten Drive-in
  1. Preisvergleich Ergebnisse in Preissuchmaschinen nicht zuverlässig
  2. Prepaid Media Markt und Saturn starten eigenen Mobilfunktarif

Photokina 2014: Olympus stellt Open-Source-Kamerakonzept vor
Photokina 2014
Olympus stellt Open-Source-Kamerakonzept vor
  1. Sony, Panasonic, JVC Hightech-Unternehmen auf der Suche nach sich selbst
  2. Olympus Pen E-PL7 Systemkamera für Selfies

    •  / 
    Zum Artikel