Zum Hauptinhalt Zur Navigation

Abo testen Anmelden

Sicherheitslücke: Openssl-Projekt veröffentlicht Update

Version 0.9.8l deaktiviert defektes TLS/SSL-Protokoll. Mit einer neuen Version 0.9.8l der Toolsammlung Openssl rund um das Sicherheitsprotokoll TLS/SSL haben Entwickler eine kritische Sicherheitslücke geschlossen. Sie war im SSL-Protokoll entdeckt worden und betrifft nicht nur Openssl, sondern alle auf dem SSL-Protokoll aufsetzende Software.

9. November 2009 um 12:55 Uhr / Jörg Thoma

6 Kommentare News folgen (öffnet im neuen Fenster)

Die aktuelle Version von Openssl deaktiviert ein sogenanntes Renegotiation-Flag, um die Sicherheitslücke zu schließen. Bislang wurde standardmäßig Openssl mit erlaubter, unsicherer Neuaushandlung gestartet. Die Sicherheitslücke kann per Neusetzen des Flags(öffnet im neuen Fenster) auch in aktuellen Versionen geschlossen werden. Dabei muss aber komplett auf Neuaushandlung verzichtet werden.

Die Lücke selbst wurde vor wenigen Tagen sowohl im SSL- als auch im TLS-Protokoll entdeckt . Somit betrifft der Fehler nicht nur das Openssl-Projekt, sondern sämtliche Software, die das Protokoll für sichere verschlüsselte Verbindungen über das Internet aufsetzt. Ein Angreifer kann unter Umständen schadhaften Code in gesendete SSL/TLS-Pakete einfügen und somit die Zertifikatsabfrage manipulieren.

Zur Startseite 6 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

lade Kommentare...

Neues aus der Golem Karrierewelt

Seminar: ITIL 4 Foundation mit Zertifikat: virtueller Zwei-Tage-Workshop

Woher hatte Trustico nur all die privaten Schlüssel? (Bild: Schumi4ever/Wikimedia Commons) (Schumi4ever/Wikimedia Commons)

Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel

Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.

Go Daddy tauscht Zertifikate aus. (Bild: Go Daddy) (Go Daddy)

Softwarefehler: Go Daddy widerruft Zertifikate von 6.100 Kunden

Wieder mal sorgt ein Softwarefehler bei einer Zertifizierungsstelle für Ärger. Bei Go Daddy müssen die TLS-Zertifikate von mehr als 6.000 Kunden ausgetauscht werden, weil die Software auch falsche Zertifikate ausgestellt hat.

Bei Trustico hat man wohl panikartig die Webseite abgeschaltet, nachdem User auf Twitter über eine gravierende Sicherheitslücke berichtet hatten. (Bild: Screenshot / trustico.com) (Screenshot / trustico.com)

Zertifikate: Trustico verwundbar für Root-Code-Injection

Der Zertifikatsverkäufer Trustico hat ein paar noch gravierendere Sicherheitsprobleme. Auf der Webseite fand sich eine triviale Script-Injection, mit der man Code mit Root-Rechten ausführen konnte.

Im KI-Wettlauf müssen womöglich bald auch Privatleute ihrem Geld hinterherrennen. (Bild: Mohamed_hassan/Pixabay) (Mohamed_hassan/Pixabay)

KI: Jetzt wird es teuer für alle

Das Management liebt weiter ein Phantom, doch 2026 wird das ein Risiko für alle. Denn: Privathaushalte und Steuerzahler werden die Zeche für die Kosten der KI-Bubble zahlen.

Warners Streamingabo HBO Max im Test (Bild: Warner/Screenshot: Golem) (Warner/Screenshot: Golem)

HBO Max im Test: Warners Abo ist technisch top, enttäuscht aber beim Katalog

HBO Max ist für technisch anspruchsvolle Film- und Serienfans ein wahrer Befreiungsschlag. Eine Warner-Filmbibliothek ist es allerdings nicht.

Andrew Feustel arbeitet 2009 am Weltraumteleskop Hubble. (Bild: Nasa) (Nasa)

Weltraumteleskop: Hubble vor dem Absturz und vor der Ablösung

Seit Jahren sinkt Hubble und könnte bald einen kritischen Bereich erreichen. Parallel könnte Ersatz von ungewöhnlicher Seite kommen.

Karrierewelt

Team-Lead IT (m/w/d) Wohnungsgenossenschaft Freiberg eG, Freiberg (Sachsen) (öffnet im neuen Fenster)

(Senior) Backend Developer (m/w/d) ACE Auto Club Europa e.V., Stuttgart (öffnet im neuen Fenster)

DevOps Backup and Restore Engineer (w/m/d) für die DZA-IT-Infrastruktur Deutsches Zentrum für Astrophysik, Görlitz (öffnet im neuen Fenster)

Informationssicherheitsmanager:in (d/m/w) Hochschule Bonn-Rhein-Sieg, Sankt Augustin (öffnet im neuen Fenster)