OpenSSL

Ein bereits verfügbares Update schließt eine Sicherheitslücke in OpenSSL. Durch fehlerhaftes Auslesen von Zertifikaten durch den ASN1-Parser entsteht ein Speicherfehler, über den womöglich Code eingeschleust werden kann.

20.04.20123 Kommentare

Mit der Veröffentlichung der Versionen 0.9.8q und 1.0.0c haben die Entwickler zwei Schwachstellen von OpenSSL beseitigt. Eine Schwachstelle betrifft die Ciphersuite in der TLS-/SSL-Schicht und ist in allen Versionen in der freien Implementierung des TLS-/SSL-Protokolls vorhanden.

09.12.20100 Kommentare

Nach über zehn Jahren Entwicklung hat das OpenSSL-Projekt die Verschlüsselungssoftware in der Version 1.0.0 veröffentlicht. OpenSSL ist eine freie Implementierung der Protokolle SSL und TLS. Die Version 1.0.0 enthält neue Funktionen und Fehlerbereinigungen.

30.03.20107 Kommentare

Damit die Neuverhandlung von TLS- und SSL-Verbindungen künftig sicher vonstatten geht, werden Daten, die zur Neuverhandlung einer Verbindung benötigt werden, Zertifikate etwa, in einer neuen TLS-Erweiterung gespeichert. Die Sicherheitsschwachstelle war Ende letzten Jahres bekanntgeworden.

13.01.20103 Kommentare

Eine kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll ist unter realen Umständen erfolgreich ausgenutzt worden. Die Man-in-the-Middle-Attacke erfolgte über das HTTPS-Protokoll.

17.11.20095 Kommentare

Mit einer neuen Version 0.9.8l der Toolsammlung Openssl rund um das Sicherheitsprotokoll TLS/SSL haben Entwickler eine kritische Sicherheitslücke geschlossen. Sie war im SSL-Protokoll entdeckt worden und betrifft nicht nur Openssl, sondern alle auf dem SSL-Protokoll aufsetzende Software.

09.11.20096 Kommentare

Nach über zehn Jahren Entwicklung liegt die Verschlüsselungssoftware OpenSSL jetzt als Version 1.0.0 Beta 1 vor. Die Entwickler bitten um ausführliche Tests ihrer Software.

02.04.20090 Kommentare

Das Sicherheits-Team der Linux-Distribution Debian hat einen Fehler im OpenSSL-Zufallsgenerator gefunden, durch den Schlüssel herausgefunden werden könnten. Die Sicherheitslücke betrifft nur das OpenSSL-Paket in Debian GNU/Linux. Das betroffene Paket wurde bereits aktualisiert.

13.05.200842 Kommentare

Das Open Source Software Institute (OSSI) startet zusammen mit dem US-Verteidigungsministerium ein OpenCrypto genanntes Programm. Es folgt den Arbeiten des Instituts, die OpenSSL eine FIPS-Zertifizierung eingebracht haben, womit die freie SSL-Implementierung in amerikanischen und kanadischen Regierungseinrichtungen zum Einsatz kommen darf. Künftig soll dies auf weitere Software ausgeweitet werden.

14.03.200713 Kommentare

Die Kryptografie-Software OpenSSL ist erneut nach dem Federal Information Processing Standard (FIPS) 140-2 zertifiziert. Dies erlaubt amerikanischen und kanadischen Regierungseinrichtungen den Einsatz der Open-Source-Software. OpenSSL war zuvor schon einmal FIPS-zertifiziert, auf Grund beanstandeter Teile im Quelltext wurde die Zertifizierung jedoch zeitweilig zurückgezogen.

07.02.20071 Kommentar

Signaturen der freien SSL- und TLS-Implementierung OpenSSL lassen sich fälschen. Davon betroffen sind alle Systeme, auf denen die OpenSSL-Bibliotheken vorhanden sind. Updates, die den Fehler beseitigen, sind bereits verfügbar.

06.09.200614 Kommentare

Die Zertifizierung der freien Kryptografie-Software OpenSSL nach dem Federal Information Processing Standard (FIPS) 140-2 wurde offensichtlich nur zeitweilig zurückgenommen. Da das Cryptographic Module Validation Program (CMVP) eine neue Version überprüft, soll das Zertifikat von der Seite entfernt worden sein. Ein neues Zertifikat ist derzeit trotzdem noch nicht verfügbar.

21.07.20060 Kommentare

Die freie Kryptografie-Software OpenSSL hat offensichtlich die Zertifizierung nach dem Federal Information Processing Standard (FIPS) 140-2 wieder verloren. Mittlerweile wird das Zertifikat als "nicht verfügbar" gekennzeichnet, zuvor soll der Status "widerrufen" gewesen sein.

18.07.200613 Kommentare

Die Zertifizierung der Kryptografie-Software OpenSSL nach dem Federal Information Processing Standard (FIPS) 140-2 ist abgeschlossen. Die im Rahmen des Cryptographic Module Validation Program (CMVP) erfolgte Zertifizierung erlaubt amerikanischen und kanadischen Regierungseinrichtungen nun den Einsatz der Open-Source-Software.

23.03.20060 Kommentare

Im Rahmen des Cryptographic Module Validation Program (CMVP) steht der Kryptografie-Software OpenSSL eine Zertifizierung nach dem Federal Information Processing Standard (FIPS) 140-2 bevor. Somit kann die freie Software künftig auch in amerikanischen und kanadischen Regierungseinrichtungen eingesetzt werden. OpenSSL ist damit die erste zertifizierte Open-Source-Software zur Verschlüsselung.

25.01.20060 Kommentare

Die freie SSL- und TLS-Implementierung OpenSSL ist in der Version 0.9.8 erschienen, einem Major-Release, das mit zahlreichen neuen Funktionen aufwartet.

06.07.20050 Kommentare

Bei der Überprüfung von OpenSSL hat die OpenSSL-Group eine kritische Sicherheitslücke in ihrer Software entdeckt. Mit einem entsprechend präparierten SSL/TLS-Handshake gegen einen Server, der die OpenSSL-Bibliothek nutzt, lässt sich dieser dadurch zum Absturz bringen. Je nach der verwendeten Applikation könnte dies Denial-of-Service-Angriffe erlauben.

18.03.20040 Kommentare

Einige jetzt entdeckte Sicherheitslücken in OpenSSL könnten es Angreifern erlauben, auf betroffenen Systemen beliebigen Code auszuführen. Zwar existiert offenbar noch keine Exploit für die Sicherheitslücken, ein Update auf die neuen Versionen Open SSL 0.9.6k bzw. 0.9.7c ist aber dennoch anzuraten.

30.09.20030 Kommentare

Die freie SSL-Implementierung OpenSSL enthält eine Sicherheitslücke, die es Angreifern ermöglicht, Usernamen und Passwörter auszuspionieren. Sowohl Patches als auch neue Versionen von OpenSSL, die das Problem beheben, sind bereits erschienen.

21.02.20030 Kommentare

Wie zahlreiche Anbieter von Antiviren-Software berichten, verbreitet sich ein Wurm über Apache-Web-Server mit aktiviertem SSL. Der jüngst entdeckte Apache-Wurm Slapper nutzt eine Sicherheitslücke in OpenSSL, um ein Shell-Skript auf Linux-Systemen mit installiertem Apache zu starten und sich stetig weiter zu verbreiten. Außerdem ist eine Distributed-Denial-of-Service-Attacke denkbar.

16.09.20020 Kommentare

Apple bietet innerhalb kurzer Zeit ein weiteres Sicherheits-Update für MacOS X an, das neue Versionen von OpenSSL und Security enthält, die nun einen Angriff von außen abwehren sollen. Der Patch eignet sich für zahlreiche Sprachen von MacOS X 10.1.5.

22.08.20020 Kommentare

Nachdem Opera am 13. August eine fehlerbereinigte Version des Windows-Browsers veröffentlicht hat, folgt nun die Linux-Version, um die Sicherheitslücke in OpenSSL vom vergangenen Monat zu bereinigen. Ferner hat Opera noch einige Bugs beseitigt.

16.08.20020 Kommentare

Die Ende Juli entdeckte Sicherheitslücke in OpenSSL betrifft auch den Web-Browser Opera, der nun in einer fehlerbereinigten Version zumindest für die Windows-Plattform erhältlich ist. Außerdem wurden weitere Bugs beseitigt; Neuerungen bietet diese Version nicht.

13.08.20020 Kommentare

In einem Security Bulletin warnen die Entwickler der freien SSL-Implementierung OpenSSL gleich vor vier Sicherheitslücken in OpenSSL, die sich aus der Ferne ausnutzen lassen. Betroffen sind alle OpenSSL-Versionen bis 0.9.6d bzw. 0.9.7-beta2.

30.07.20020 Kommentare