Abo
  • Services:
Anzeige
Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes
(Bild: OpenSSL)

Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes

Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes
(Bild: OpenSSL)

Die Entwickler von OpenSSL haben ein Update veröffentlicht, das zahlreiche Sicherheitslücken behebt. Anders als von manchen befürchtet, ist allerdings keine gravierende Lücke wie Heartbleed dabei.

Anzeige

Vor zwei Tagen hat eine Ankündigung von OpenSSL viele in Aufregung versetzt. Darin kündigten die Entwickler an, am heutigen Donnerstag neue Versionen zu veröffentlichen, die mehrere Sicherheitslücken beheben. Eine der Lücken sei als hoch riskant einzustufen. Allerdings schickte OpenSSL-Entwickler Mark J. Cox auf Twitter gleich eine Entwarnung hinterher: Die Sicherheitslücke mit hohem Schweregrad betrifft nur den jüngsten Versionszweig 1.0.2 - und der wird bislang nur wenig eingesetzt.

Server zum Absturz bringen

Heute wurden nun Details zu den Lücken veröffentlicht. Die Lücke in Version 1.0.2 ist nicht mit früheren schweren OpenSSL-Lücken wie Heartbleed oder der CCS-Injection-Lücke vergleichbar. Es handelt sich lediglich um einen Denial-of-Service-Angriff. Ein Client kann durch eine ungültige Angabe beim Signaturalgorithmus die Auflösung eines Null-Pointers auf dem Server auslösen. Serverapplikationen können dadurch zum Absturz gebracht werden. Die Lücke hat die ID CVE-2015-0291 erhalten.

Eine ältere Lücke, die bereits im Januar behoben wurde, hat eine neue Einstufung erhalten. Es handelt sich um das Problem, das letztendlich der FREAK-Attacke zugrunde lag und mit der ID CVE-2015-0204 geführt wird. Ursprünglich hatten die OpenSSL-Entwickler diese Lücke nur als mittelschwer bezeichnet, im neuen Advisory wird sie als hoch riskant eingestuft.

Fehler bei PSS-Signaturverarbeitung und im ASN.1-Parser

Verschiedene weitere Lücken sind geeignet, Client-Applikationen zum Absturz zu bringen, etwa Fehler bei der Verarbeitung von Parametern bei RSA-PSS-Signaturen und Fehler beim Decodieren von ASN.1-Strukturen. Auch in selten genutzten Features wie DTLS und SSLv2 wurden Fehler gefunden. Insgesamt erwähnt das Advisory 14 Sicherheitslücken.

Für etwas Unmut hat gesorgt, dass das OpenSSL-Team die neuen Versionen zwar vorab angekündigt hatte, der genaue Zeitpunkt der Veröffentlichung allerdings nicht bekanntgegeben wurde. Lediglich ein vierstündiges Zeitfenster war vorab bekannt.

Neue Versionen verfügbar

Für alle unterstützten Versionszweige von OpenSSL wurden neue Versionen veröffentlicht. 1.0.2a, 1.0.1m, 1.0.0r und 0.9.8zf beheben alle bekannten Sicherheitsprobleme und stehen ab sofort auf der OpenSSL-Webseite zum Download bereit.


eye home zur Startseite
Proctrap 21. Mär 2015

Yep, Debian ist nicht besonders schnell im integrieren von neuem, auf einem aktuellen...

bstea 20. Mär 2015

Naja die API ist unterschiedlich. Und anstatt ein Großreinemachen zu erzwingen wird die...

RipClaw 19. Mär 2015

<> Ich weiß nicht ob auf der Mailingliste solche Vorankündigungen normal sind aber z.B...



Anzeige

Stellenmarkt
  1. MCM Klosterfrau Vertriebsgesellschaft mbH, Köln
  2. Elektronische Fahrwerksysteme GmbH, Ingolstadt
  3. Imago Design GmbH, Gilching
  4. über Ratbacher GmbH, München


Anzeige
Blu-ray-Angebote
  1. 125,00€
  2. (u. a. Vier Fäuste für ein Halleluja, Zwei bärenstarke Typen,Vier Fäuste gegen Rio)
  3. 17,97€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  2. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  3. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  4. Raumfahrt

    Europa bleibt im All

  5. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  6. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  7. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  8. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  9. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  10. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Re: Warum sollten Nutzer nicht Verantwortung...

    whitbread | 06:52

  2. Re: Warum entschädigen?

    whitbread | 06:44

  3. Re: Zugangsdaten weitergeben?

    whitbread | 06:34

  4. Re: "noch" nicht optimiert

    Lalande | 06:31

  5. Re: Tada!

    whitbread | 06:13


  1. 00:03

  2. 15:33

  3. 14:43

  4. 13:37

  5. 11:12

  6. 09:02

  7. 18:27

  8. 18:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel