OpenSSL

Updates beseitigen Schwachstellen

Mit der Veröffentlichung der Versionen 0.9.8q und 1.0.0c haben die Entwickler zwei Schwachstellen von OpenSSL beseitigt. Eine Schwachstelle betrifft die Ciphersuite in der TLS-/SSL-Schicht und ist in allen Versionen in der freien Implementierung des TLS-/SSL-Protokolls vorhanden.

Anzeige

Die Schwachstelle in der Ciphersuite von OpenSSL ermöglicht es einem Angreifer, den Cache einer gespeicherten Sitzung zu modifizieren und den Algorithmus einer verschlüsselten Datenverbindung auf einen schwächeren herunterzusetzen. Damit vereinfacht sich das Knacken einer sicheren Verbindung.

Die Entwickler haben die Schwachstelle beseitigt, indem sie die Option "SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG" deaktiviert haben, die der Kompatibilität zu Netscape-Browsern dient. Anwender können ihre OpenSSL-Versionen mit der abgeschalteten Option kompilieren. Alternativ kann noch die Option "SSL_OP_ALL" deaktiviert werden.

In Version 0.9.8j ist die Schwachstelle zwar vorhanden, allerdings kann dort ein Angreifer nur zu einem gleich starken Algorithmus wechseln. Benutzer der 0.9.8er Versionen sollten auf 0.9.8q aktualisieren. Benutzer von Version 1.0.0 sollten künftig die Version 1.0.0c verwenden.

Version 1.0.0c enthält auch Reparaturen für die Schwachstelle in dem J-Pake-Protokoll (Password Authenticated Key Exchange by Juggling). Über die Schwachstelle könnte sich ein Angreifer auch ohne Kenntnis des verwendeten geheimen Schlüssels legitimieren. J-Pake wird in OpenSSL nicht standardmäßig aktiviert, sondern muss explizit ausgewählt werden.

Die entsprechenden Patches haben die Entwickler auf ihrer Webseite veröffentlicht. Der Quellcode der reparierten Versionen liegt auf den Servern des Projekts zum Download bereit.


Kommentieren



Anzeige

  1. Softwareentwickler (m/w)
    Behr-Hella Thermocontrol GmbH, Lippstadt
  2. Junior Webentwickler/in
    verlag moderne industrie GmbH, Landsberg am Lech
  3. Professional Services Consultant (m/w)
    NetApp Deutschland GmbH, Hamburg
  4. Senior Software-Entwickler/in Java
    Bosch Energy and Building Solutions GmbH, Ismaning

 

Detailsuche


Top-Angebote
  1. NEU: Amazon Last-Minute-Angebote Tag 6: Games, Blu-ray, Technik
  2. TOP-PREIS: Crysis 3 Download
    2,99€
  3. NEU: Games Music History - Computec Edition, Vol. 2
    9,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Story Mode

    Telltale arbeiten an Minecraft-Episodenabenteuer

  2. Deutscher Entwicklerpreis 2014

    Lords of the Fallen schafft eines von drei Triples

  3. General vor dem NSA-Ausschuss

    Der Feuerwehrmann des BND

  4. Outcast 1.1

    Technisch überarbeiteter Klassiker bei Steam und GOG

  5. Microsoft

    Webbrowserauswahl in Windows ist abgeschafft

  6. Streaming

    Netflix schließt Offline-Videos kategorisch aus

  7. KDE Applications 14.12

    Erste Frameworks-5-Ports der KDE-Anwendungen erschienen

  8. Spearfishing

    Icann meldet Einbruch in seine Server

  9. Amiibos

    Zubehör für Super Smash Bros wird rar und teuer

  10. x86-64-Architektur

    Fehler im Linux-Kernel kann für Abstürze ausgenutzt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de



Games-Verfilmungen: Videospiele erobern Hollywood
Games-Verfilmungen
Videospiele erobern Hollywood
  1. Adr1ft Mit Oculus Rift und UE4 ins All
  2. The Game Awards 2014 Dragon Age ist bestes Spiel, Miyamoto zeigt neues Zelda
  3. Space Engineers Minecraft im Weltraum

Nexus 6 gegen Moto X: Das Nexus ist tot
Nexus 6 gegen Moto X
Das Nexus ist tot
  1. Teardown Nexus 6 kommt mit wenig Kleber aus
  2. Google Nexus 6 kommt doch erst viel später
  3. Google Nexus 6 erscheint nächste Woche - doch nicht

O2 Car Connection im Test: Der Spion unterm Lenkrad
O2 Car Connection im Test
Der Spion unterm Lenkrad
  1. Urteil Finger weg vom Handy beim Autofahren
  2. Urban Windshield Jaguar bringt Videospiel-Feeling ins Auto
  3. Tweak Carplay ohne passendes Auto verwenden

    •  / 
    Zum Artikel