OpenSSL

Updates beseitigen Schwachstellen

Mit der Veröffentlichung der Versionen 0.9.8q und 1.0.0c haben die Entwickler zwei Schwachstellen von OpenSSL beseitigt. Eine Schwachstelle betrifft die Ciphersuite in der TLS-/SSL-Schicht und ist in allen Versionen in der freien Implementierung des TLS-/SSL-Protokolls vorhanden.

Anzeige

Die Schwachstelle in der Ciphersuite von OpenSSL ermöglicht es einem Angreifer, den Cache einer gespeicherten Sitzung zu modifizieren und den Algorithmus einer verschlüsselten Datenverbindung auf einen schwächeren herunterzusetzen. Damit vereinfacht sich das Knacken einer sicheren Verbindung.

Die Entwickler haben die Schwachstelle beseitigt, indem sie die Option "SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG" deaktiviert haben, die der Kompatibilität zu Netscape-Browsern dient. Anwender können ihre OpenSSL-Versionen mit der abgeschalteten Option kompilieren. Alternativ kann noch die Option "SSL_OP_ALL" deaktiviert werden.

In Version 0.9.8j ist die Schwachstelle zwar vorhanden, allerdings kann dort ein Angreifer nur zu einem gleich starken Algorithmus wechseln. Benutzer der 0.9.8er Versionen sollten auf 0.9.8q aktualisieren. Benutzer von Version 1.0.0 sollten künftig die Version 1.0.0c verwenden.

Version 1.0.0c enthält auch Reparaturen für die Schwachstelle in dem J-Pake-Protokoll (Password Authenticated Key Exchange by Juggling). Über die Schwachstelle könnte sich ein Angreifer auch ohne Kenntnis des verwendeten geheimen Schlüssels legitimieren. J-Pake wird in OpenSSL nicht standardmäßig aktiviert, sondern muss explizit ausgewählt werden.

Die entsprechenden Patches haben die Entwickler auf ihrer Webseite veröffentlicht. Der Quellcode der reparierten Versionen liegt auf den Servern des Projekts zum Download bereit.

Kommentarübersicht

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Spezialist Software Acceptance Test (m/w)
    HARTING KGaA, Espelkamp
  2. Projektleiter (m/w)
    Outcome Unternehmensberatung GmbH, Köln
  3. Development / Operations Administrator (m/w)
    dm-drogerie markt GmbH + Co. KG, Karlsruhe
  4. Consultant / Wissenschaftlicher Mitarbeiter (m/w) im Bereich IT Privacy
    VDI/VDE Innovation + Technik GmbH, Berlin

 

Detailsuche

Folgen Sie uns
       
Videos
Wisee erkennt Bewegungen durch WLAN-Signale Wisee erkennt Bewegungen durch WLAN-Signale
Ticker
  1. Hands On

    Huawei Ascend P6 ist schick und schlank

  2. Letzte Meile

    Bundesnetzagentur senkt Preise für TAL am Schaltverteiler

  3. Prism

    Wie der BND das Netz überwacht

  4. Socl

    Microsofts soziales Netzwerk wird zum Meme-Generator

  5. XMP-Profile

    Kompatibilitätslisten zu DDR3-Modulen für Haswell

  6. Datenbrille

    Datenschützer halten Google Glass für nicht EU-tauglich

  7. We are Watching You

    Widerstand gegen Kinect-Überwachung in den USA

  8. Netflix und Dreamworks

    Shrek & Co. bald in neuen Streaming-Serien

  9. LC-90LE757

    Sharp bringt 90-Zoll-TV für 13.000 Euro

  10. HTC Desire 200

    Einsteiger-Smartphone mit langer Akkulaufzeit und Adblocker

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Retrogaming
Computerspiele: Atari-Gründer warnt vor Onlinezwang
Computerspiele
Atari-Gründer warnt vor Onlinezwang

Der Atari-Gründer Nolan Bushnell warnt die Spielebranche: Sie tue nichts, um dafür zu sorgen, dass heutige Spiele auch in Zukunft verfügbar bleiben. Besonders der heute oft übliche Onlinezwang mache ihm Sorgen.

Denic
Verlängerung der Löschphase: Denic will Domain-Grabbing verhindern
Verlängerung der Löschphase
Denic will Domain-Grabbing verhindern

Die Denic will bei der Löschung von Domains eine Übergangsfrist einführen. Im Februar waren einige Firmendomains versehentlich gelöscht und zur Registrierung freigegeben worden.

  1. Domainrecht Schweizer Switch schaltet Domain wegen Malware ab
Golem.de
In eigener Sache: Was auf unseren Adblocker-Aufruf folgte
In eigener Sache
Was auf unseren Adblocker-Aufruf folgte

Zusammen mit einigen anderen Websites haben wir vor rund einem Monat unsere Leser gebeten, ihren Adblocker auf unseren Seiten abzuschalten. Ein Resümee.

  1. In eigener Sache Bitte schalte deinen Adblocker aus!
Forumsbeiträge »
  1. Edward Snowden NSA-Hacker verursachen weltweit Systemabstürze

    Re: Vor so etwas brauchen wir Schutz

    fluppsi | 23:24

  2. Hands On Huawei Ascend P6 ist schick und schlank

    Gut gefilmt

    Doubleslash | 23:22

  3. Verlängerung der Löschphase Denic will Domain-Grabbing verhindern

    Damit ist der Domaintransfer (KK) Geschichte

    RipClaw | 23:22

  4. Edward Snowden NSA-Hacker verursachen weltweit Systemabstürze

    Re: Glaubwürdigkeit

    fluppsi | 23:21

  5. Xbox One "Microsofts Geschäftspolitik gefährdet Xbox-Geschäft"

    Woll'n die mich auf'n arm nehmen?

    leed | 23:21

Ticker »
  1. Hands On Huawei Ascend P6 ist schick und schlank

    21:39

  2. Letzte Meile Bundesnetzagentur senkt Preise für TAL am Schaltverteiler

    20:08

  3. Prism Wie der BND das Netz überwacht

    19:36

  4. Socl Microsofts soziales Netzwerk wird zum Meme-Generator

    18:40

  5. XMP-Profile Kompatibilitätslisten zu DDR3-Modulen für Haswell

    18:24

  6. Datenbrille Datenschützer halten Google Glass für nicht EU-tauglich

    18:06

  7. We are Watching You Widerstand gegen Kinect-Überwachung in den USA

    17:57

  8. Netflix und Dreamworks Shrek & Co. bald in neuen Streaming-Serien

    17:51

Zum Artikel