OpenSSL

Updates beseitigen Schwachstellen

Mit der Veröffentlichung der Versionen 0.9.8q und 1.0.0c haben die Entwickler zwei Schwachstellen von OpenSSL beseitigt. Eine Schwachstelle betrifft die Ciphersuite in der TLS-/SSL-Schicht und ist in allen Versionen in der freien Implementierung des TLS-/SSL-Protokolls vorhanden.

Anzeige

Die Schwachstelle in der Ciphersuite von OpenSSL ermöglicht es einem Angreifer, den Cache einer gespeicherten Sitzung zu modifizieren und den Algorithmus einer verschlüsselten Datenverbindung auf einen schwächeren herunterzusetzen. Damit vereinfacht sich das Knacken einer sicheren Verbindung.

Die Entwickler haben die Schwachstelle beseitigt, indem sie die Option "SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG" deaktiviert haben, die der Kompatibilität zu Netscape-Browsern dient. Anwender können ihre OpenSSL-Versionen mit der abgeschalteten Option kompilieren. Alternativ kann noch die Option "SSL_OP_ALL" deaktiviert werden.

In Version 0.9.8j ist die Schwachstelle zwar vorhanden, allerdings kann dort ein Angreifer nur zu einem gleich starken Algorithmus wechseln. Benutzer der 0.9.8er Versionen sollten auf 0.9.8q aktualisieren. Benutzer von Version 1.0.0 sollten künftig die Version 1.0.0c verwenden.

Version 1.0.0c enthält auch Reparaturen für die Schwachstelle in dem J-Pake-Protokoll (Password Authenticated Key Exchange by Juggling). Über die Schwachstelle könnte sich ein Angreifer auch ohne Kenntnis des verwendeten geheimen Schlüssels legitimieren. J-Pake wird in OpenSSL nicht standardmäßig aktiviert, sondern muss explizit ausgewählt werden.

Die entsprechenden Patches haben die Entwickler auf ihrer Webseite veröffentlicht. Der Quellcode der reparierten Versionen liegt auf den Servern des Projekts zum Download bereit.


Kommentieren



Anzeige

  1. Verifikationsingenieur (m/w) System on Chip Design
    DR. JOHANNES HEIDENHAIN GmbH, Traunreut
  2. Konfigurationsmanager in der Entwicklung (m/w)
    EMT Ingenieurgesellschaft Dipl.-Ing. Hartmut Euer mbH, Penzberg Raum München
  3. Software Project Manager (m/w)
    MED-EL Medical Electronics, Innsbruck (Österreich)
  4. Senior Software Developer (m/w)
    econda GmbH, Karlsruhe

 

Detailsuche


Hardware-Angebote
  1. Kingston HyperX Cloud Headset
    84,90€
  2. NEU: MSI GeForce GTX 970 Gaming 4G
    369,90€ (günstigster Preis laut Preisvergleich)
  3. G.Skill DIMM 8 GB DDR3-1600 Kit
    59,90€

 

Weitere Angebote


Folgen Sie uns
       


  1. Force Touch

    Apples Trackpad könnte künftig verschiedene Oberflächen simulieren

  2. Bodyprint

    Yahoo-Software verwandelt Touchscreen in Ohr-Scanner

  3. BKA

    Ab Herbst 2015 soll der Bundestrojaner einsetzbar sein

  4. Die Woche im Video

    Computerspiele, Whatsapp und Fire TV Stick

  5. Amtsgericht Hamburg

    Online-Partnervermittlungen dürfen kein Geld nehmen

  6. Elite Dangerous

    Powerplay im All

  7. Martin Gräßlin

    KDE Plasma läuft erstmals unter Wayland

  8. Canonical

    Ubuntus Desktop-Next soll auf DEB-Pakete verzichten

  9. Glasschair

    Mit der Google Glass den Rollstuhl steuern

  10. Günther Oettinger

    EU und Telekom wollen Regulierung zu Whatsapp und Google



Haben wir etwas übersehen?

E-Mail an news@golem.de



The Ocean Cleanup: Ein Müllfänger für die Meere
The Ocean Cleanup
Ein Müllfänger für die Meere
  1. Vorbild Tintenfisch Tarnmaterial ändert seine Farbe
  2. Keine Science-Fiction Mit dem Laser gegen Weltraumschrott
  3. Maglev Magnetschwebebahn erreicht in Japan 590 km/h

GTA 5 im Technik-Test: So sieht eine famose PC-Umsetzung aus
GTA 5 im Technik-Test
So sieht eine famose PC-Umsetzung aus
  1. GTA 5 auf dem PC Erst beschränkter Zugriff, dann mehr Freiheit
  2. GTA 5 PC Rockstar Games gibt Systemanforderungen für Ultra-HD bekannt
  3. GTA 5 PC angespielt Los Santos ohne Staubschleier

Hello Firefox OS: Einfacher Einstieg in die App-Entwicklung mit Firefox OS
Hello Firefox OS
Einfacher Einstieg in die App-Entwicklung mit Firefox OS
  1. Biicode Abhängigkeitsverwaltung für C/C++ ist Open Source
  2. Freie Bürosoftware Libreoffice liegt im Rennen gegen Openoffice weit vorne
  3. ARM-SoC Allwinner verschleiert Lizenzverletzungen noch weiter

  1. Wer die wohl beta testen darf?

    twothe | 14:19

  2. Re: Hört hört....

    Gamma Ray Burst | 14:19

  3. Re: Apple's Trackpad simuliert ...

    zettifour | 14:17

  4. Re: woran erkennt man das Verfallsdatum einer Band ?

    Marentis | 14:15

  5. Re: Soll das ein Scherz sein?

    JTR | 14:13


  1. 10:05

  2. 09:50

  3. 09:34

  4. 09:01

  5. 18:41

  6. 16:27

  7. 16:04

  8. 15:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel