OpenSSL

Updates beseitigen Schwachstellen

Mit der Veröffentlichung der Versionen 0.9.8q und 1.0.0c haben die Entwickler zwei Schwachstellen von OpenSSL beseitigt. Eine Schwachstelle betrifft die Ciphersuite in der TLS-/SSL-Schicht und ist in allen Versionen in der freien Implementierung des TLS-/SSL-Protokolls vorhanden.

Anzeige

Die Schwachstelle in der Ciphersuite von OpenSSL ermöglicht es einem Angreifer, den Cache einer gespeicherten Sitzung zu modifizieren und den Algorithmus einer verschlüsselten Datenverbindung auf einen schwächeren herunterzusetzen. Damit vereinfacht sich das Knacken einer sicheren Verbindung.

Die Entwickler haben die Schwachstelle beseitigt, indem sie die Option "SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG" deaktiviert haben, die der Kompatibilität zu Netscape-Browsern dient. Anwender können ihre OpenSSL-Versionen mit der abgeschalteten Option kompilieren. Alternativ kann noch die Option "SSL_OP_ALL" deaktiviert werden.

In Version 0.9.8j ist die Schwachstelle zwar vorhanden, allerdings kann dort ein Angreifer nur zu einem gleich starken Algorithmus wechseln. Benutzer der 0.9.8er Versionen sollten auf 0.9.8q aktualisieren. Benutzer von Version 1.0.0 sollten künftig die Version 1.0.0c verwenden.

Version 1.0.0c enthält auch Reparaturen für die Schwachstelle in dem J-Pake-Protokoll (Password Authenticated Key Exchange by Juggling). Über die Schwachstelle könnte sich ein Angreifer auch ohne Kenntnis des verwendeten geheimen Schlüssels legitimieren. J-Pake wird in OpenSSL nicht standardmäßig aktiviert, sondern muss explizit ausgewählt werden.

Die entsprechenden Patches haben die Entwickler auf ihrer Webseite veröffentlicht. Der Quellcode der reparierten Versionen liegt auf den Servern des Projekts zum Download bereit.


Kommentieren



Anzeige

  1. Softwareentwickler GUI, HMI (m/w)
    GS Elektromedizinische Geräte G. Stemple GmbH, Kaufering (Raum München)
  2. IT-Demand- und -Projektmanger für Business Units mit Fokus Logistik / SCM (m/w)
    SCHOTT AG, Mainz
  3. Anwendungsentwickler (m/w) Meldewesen
    Aareal Bank AG, Wiesbaden
  4. IT-Systemadministrator (m/w)
    AKDB, Würzburg

 

Detailsuche


Folgen Sie uns
       


  1. Demo gegen Überwachung

    "Wo bleiben die deutschen Whistleblower?"

  2. Deutsche Grammophon

    Klassik streamen mit bis zu 320 Kbps

  3. Alibaba

    Milliardenschwerer Börsengang wohl Mitte September

  4. Test Infamous First Light

    Neonbunter Actionspaß

  5. Nach Wurstfirmeninsolvenz

    Redtube-Abmahn-Anwalt verliert Zulassung

  6. Gat out of Hell

    Saints Row und die Froschplage in der Hölle

  7. Ridesharing

    Taxidienst Uber in 200 Städten verfügbar

  8. Telefónica und E-Plus

    "Haben endgültige Freigabe von EU-Kommission bekommen"

  9. Intel Core i7-5960X im Test

    Die PC-Revolution beginnt mit Octacore und DDR4

  10. Nintendo

    Neuer 3DS mit NFC und zweitem Analogstick



Haben wir etwas übersehen?

E-Mail an news@golem.de



Test Bioshock für iOS: Unterwasserstadt für die Hosentasche
Test Bioshock für iOS
Unterwasserstadt für die Hosentasche
  1. Unter Wasser Bioshock auf iOS-Geräten

Überschall-U-Boot: Von Schanghai nach San Francisco in 100 Minuten
Überschall-U-Boot
Von Schanghai nach San Francisco in 100 Minuten

Qnap QGenie im Test: Netzwerkspeicher fehlt's an Speicher
Qnap QGenie im Test
Netzwerkspeicher fehlt's an Speicher
  1. Qnap QGenie NAS-System für die Hosentasche
  2. HS-251 Qnap beschleunigt lüfterloses NAS-System
  3. QNAP TS-EC1080 Pro Erweiterbares NAS-System im Tower mit mSATA-Plätzen

    •  / 
    Zum Artikel