Sicherheitslücke in SSL-Bibliotheken

Neue Version und Patch bereits erhältlich. Die freie SSL-Implementierung OpenSSL enthält eine Sicherheitslücke, die es Angreifern ermöglicht, Usernamen und Passwörter auszuspionieren. Sowohl Patches als auch neue Versionen von OpenSSL, die das Problem beheben, sind bereits erschienen.

21. Februar 2003 um 10:21 Uhr / Jens Ihlenfeld

Kommentare News folgen (öffnet im neuen Fenster)

Entdeckt(öffnet im neuen Fenster) wurde das Problem von Brice Canvel (EPFL), Alain Hiltgen (UBS), Serge Vaudenay (EPFL) und Martin Vuagnoux (EPFL, Ilion), das über eine "Zeit-basierte Attacke" ausgenutzt werden kann. Schuld ist das Verhalten der SSL/TLS-Implementierung bei gefälschten Paketen. Zwar werden solche Pakete abgelehnt, aber ein Angreifer könnte durch Überwachung des zeitlichen Antwortverhaltens Rückschlüsse auf zwei unterschiedliche Fehlermeldungen ziehen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

IT-Mitarbeiter (w/m/d) für das Fachressort Geschäftsanwendungen Klinikum Lüneburg, Schwerpunkt Systemadministration und Anwendungsbetreuung Gesundheitsholding Lüneburg GmbH, Lüneburg (öffnet im neuen Fenster)

Architect SAP Administration (m/w/d) bis zu 100 % remote ALBA Management GmbH, Berlin (öffnet im neuen Fenster)

IT-Infrastrukturbetreuer (w/m/d) IT-Support - First & Second Level Sparkasse Hanau, Hanau (öffnet im neuen Fenster)

Data Engineer mit Schwerpunkt AI & Power BI (m/w/d) IBC SOLAR AG, Bad Staffelstein (öffnet im neuen Fenster)

Projektmanager/in - Wirtschaftsingenieur/in - Wirtschaftsinformatiker/in (o.ä.) - m/w/d - für das Projektmanagement der IT-Anwendung BUBE Hessisches Landesamt für Naturschutz, Umwelt und Geologie, Kassel (öffnet im neuen Fenster)

Duales Studium (Bachelor of Science) Angewandte Informatik Deutsche Bundesbank, Mosbach (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) Gemeinnützige Gesellschaft für inklusive Serviceleistungen mbH (gGiS mbH), Hannover (öffnet im neuen Fenster)

Die neuen OpenSSL-Implementierungen OpenSSL 0.9.6i und 0.9.7a beheben das Problem und können unter www.openssl.org(öffnet im neuen Fenster) heruntergeladen werden. Allerdings könnte die Problematik auch in anderen SSL/TLS-Implementierungen auftauchen, die mitunter direkt in E-Banking oder E-Commerce-Applikationen integriert sind, so dass ein einfacher Austausch der SSL-Bibliotheken nicht hilft.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen