Anzeige

OpenSSL

Updates beseitigen Schwachstellen

Mit der Veröffentlichung der Versionen 0.9.8q und 1.0.0c haben die Entwickler zwei Schwachstellen von OpenSSL beseitigt. Eine Schwachstelle betrifft die Ciphersuite in der TLS-/SSL-Schicht und ist in allen Versionen in der freien Implementierung des TLS-/SSL-Protokolls vorhanden.

Anzeige

Die Schwachstelle in der Ciphersuite von OpenSSL ermöglicht es einem Angreifer, den Cache einer gespeicherten Sitzung zu modifizieren und den Algorithmus einer verschlüsselten Datenverbindung auf einen schwächeren herunterzusetzen. Damit vereinfacht sich das Knacken einer sicheren Verbindung.

Die Entwickler haben die Schwachstelle beseitigt, indem sie die Option "SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG" deaktiviert haben, die der Kompatibilität zu Netscape-Browsern dient. Anwender können ihre OpenSSL-Versionen mit der abgeschalteten Option kompilieren. Alternativ kann noch die Option "SSL_OP_ALL" deaktiviert werden.

In Version 0.9.8j ist die Schwachstelle zwar vorhanden, allerdings kann dort ein Angreifer nur zu einem gleich starken Algorithmus wechseln. Benutzer der 0.9.8er Versionen sollten auf 0.9.8q aktualisieren. Benutzer von Version 1.0.0 sollten künftig die Version 1.0.0c verwenden.

Version 1.0.0c enthält auch Reparaturen für die Schwachstelle in dem J-Pake-Protokoll (Password Authenticated Key Exchange by Juggling). Über die Schwachstelle könnte sich ein Angreifer auch ohne Kenntnis des verwendeten geheimen Schlüssels legitimieren. J-Pake wird in OpenSSL nicht standardmäßig aktiviert, sondern muss explizit ausgewählt werden.

Die entsprechenden Patches haben die Entwickler auf ihrer Webseite veröffentlicht. Der Quellcode der reparierten Versionen liegt auf den Servern des Projekts zum Download bereit.


Kommentieren



Anzeige

  1. Projektleiter (m/w) Fernmeldenetzbau / Breitbandnetze
    Bsys Mitteldeutsche Beratungs- und Systemhaus GmbH, Erfurt
  2. Web Designer / Interface Developer (m/w) für den Bereich eShop
    GALERIA Kaufhof GmbH, Köln
  3. Development Manager (m/w)
    Haufe Gruppe, Freiburg im Breigau
  4. IT-Manager JBoss Solution Architect (m/w)
    Media-Saturn IT-Services GmbH, Ingolstadt

Detailsuche


Blu-ray-Angebote
  1. NEU: Total Recall (Steelbook Edition) [Blu-ray]
    7,90€
  2. Blu-rays je 7,97 EUR
    (u. a. Homefront, 96 Hours Taken 2, Sieben, Das Bourne Ultimatum, Virtuality - Killer im System)
  3. Oscar-Filme zum Sonderpreis
    (u. a. Grand Budapest Hotel 7,90€, Birdman 9,90€, 12 Years a Slave 9,97€)

Weitere Angebote


Folgen Sie uns
       


  1. AVM

    Fritzboxen für Supervectoring, G.fast und Docsis 3.1 kommen

  2. Einsteins Vorhersage bestätigt

    Forscher weisen erstmals Gravitationswellen nach

  3. Datenschmuggel

    Alte USB-Sticks als Geheimwaffe gegen Nordkorea

  4. Remedy Entertainment

    Hardware-Anforderungen für Quantum Break veröffentlicht

  5. Paket-Ärger.de

    Die meisten Beschwerden über nicht ausgehändigte Pakete

  6. ÖPNV in San Francisco

    Die meisten Überwachungskameras sind nur Attrappen

  7. Snapdragon

    Qualcomm zeigt neuen 14nm-FinFET-Chip und ein Wearable-SoC

  8. Overload

    Descent-Macher sammeln Geld für neues Projekt

  9. Snapdragon X16

    Qualcomms neues LTE-Modem schafft 1 GBit pro Sekunde

  10. Social Media

    Bleib bescheiden, Twitter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Time Machine VR angespielt: Wir tauchen mit den Monstern der Tiefe
Time Machine VR angespielt
Wir tauchen mit den Monstern der Tiefe
  1. Unreal Engine4 Epic baut virtuelle Welt in virtueller Welt
  2. Unmandelboxing Markus Persson fliegt durch VR-Fraktaltunnel
  3. Spectrevision Elijah Wood macht Horror-VR mit Ubisoft

Tails 2.0 angeschaut: Die Linux-Distribution zum sicheren Surfen neu aufgelegt
Tails 2.0 angeschaut
Die Linux-Distribution zum sicheren Surfen neu aufgelegt

Asteroidenbergbau: Verblendet vom Platinrausch
Asteroidenbergbau
Verblendet vom Platinrausch
  1. Escape Dynamics Firma für mikrowellenbetriebene Raumschiffe ist bankrott
  2. Raumfahrt SpaceX und Orbital bauen Triebwerke für das US-Militär
  3. Dream Chaser Mini-Shuttle darf zur ISS fliegen

  1. Re: Ich glaube Floppies wären sinnvoller

    DrWatson | 22:14

  2. Re: 5x vs. P8 lite

    Pulsar | 22:13

  3. Re: statische IP

    triplekiller | 22:13

  4. Re: Naturwissenschaft ist schon was schönes

    Eheran | 22:10

  5. Re: Gut so

    raskani | 22:06


  1. 19:17

  2. 17:03

  3. 16:25

  4. 15:55

  5. 15:49

  6. 15:38

  7. 15:28

  8. 14:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel