Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

OpenSSL: Updates beseitigen Schwachstellen

Mit der Veröffentlichung der Versionen 0.9.8q und 1.0.0c haben die Entwickler zwei Schwachstellen von OpenSSL beseitigt. Eine Schwachstelle betrifft die Ciphersuite in der TLS-/SSL-Schicht und ist in allen Versionen in der freien Implementierung des TLS-/SSL-Protokolls vorhanden.
/ Jörg Thoma
Kommentare News folgen (öffnet im neuen Fenster)

Die Schwachstelle in der Ciphersuite von OpenSSL ermöglicht es einem Angreifer, den Cache einer gespeicherten Sitzung zu modifizieren und den Algorithmus einer verschlüsselten Datenverbindung auf einen schwächeren herunterzusetzen. Damit vereinfacht sich das Knacken einer sicheren Verbindung.

Die Entwickler haben die Schwachstelle beseitigt, indem sie die Option "SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG" deaktiviert haben, die der Kompatibilität zu Netscape-Browsern dient. Anwender können ihre OpenSSL-Versionen mit der abgeschalteten Option kompilieren. Alternativ kann noch die Option "SSL_OP_ALL" deaktiviert werden.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Mitarbeiter (m/w/d) Notfallmanagement / Informationssicherheit Entgeltgruppe 11 TV-TgDRV / Besoldungsgruppe A12 Deutsche Rentenversicherung Mitteldeutschland, Erfurt,Halle (Saale),Leipzig,Home Office (öffnet im neuen Fenster)
Informatiker*in für die Mitarbeit im Labor Rechenzentrum Informatik HAW Hamburg, Hochschule für Angewandte Wissenschaften, Hamburg,Homeoffice (öffnet im neuen Fenster)
Bioinformatiker*in (m/w/d) Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz (öffnet im neuen Fenster)
Referentin / Referent (m/w/d) Vewaltungsdigitalisierung Geschäftsstelle des Digitalverbunds Bayern im Hochschulbereich Universität Passau, Passau (öffnet im neuen Fenster)
Sachgebietsleiterin / Sachgebietsleiter in der Funktion Leiterin / Leiter Applikations- und Schnittstellensysteme (w/m/d) Polizei Berlin, Berlin (öffnet im neuen Fenster)
Actuarial Data Scientist / Aktuar:in / Mathematiker:in im Pricing (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)
Sales Manager SaaS (m/w/d) EDGITAL GmbH, Essen,Hamburg,Berlin (öffnet im neuen Fenster)
Clinical Database Engineer (m/w/d) Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz (öffnet im neuen Fenster)

In Version 0.9.8j ist die Schwachstelle zwar vorhanden, allerdings kann dort ein Angreifer nur zu einem gleich starken Algorithmus wechseln. Benutzer der 0.9.8er Versionen sollten auf 0.9.8q aktualisieren. Benutzer von Version 1.0.0 sollten künftig die Version 1.0.0c verwenden.

Version 1.0.0c enthält auch Reparaturen für die Schwachstelle in dem J-Pake-Protokoll(öffnet im neuen Fenster) (Password Authenticated Key Exchange by Juggling). Über die Schwachstelle könnte sich ein Angreifer auch ohne Kenntnis des verwendeten geheimen Schlüssels legitimieren. J-Pake wird in OpenSSL nicht standardmäßig aktiviert, sondern muss explizit ausgewählt werden.

Die entsprechenden Patches haben die Entwickler auf ihrer Webseite veröffentlicht. Der Quellcode der reparierten Versionen liegt auf den Servern des Projekts(öffnet im neuen Fenster) zum Download bereit.

Zur Startseite Kommentare

Relevante Themen

VerschlüsselungOpen SourceSoftwareSoftwareentwicklungSecurityUpdates & PatchesWissenDatensicherheit