Abo
  • Services:

OpenSSL: Sieben Fehler gefunden und repariert

In der Kryptobibliothek OpenSSL sind weitere teils gravierende Sicherheitslücken entdeckt worden. Patches dafür und neue Versionen der Software gibt es bereits.

Artikel veröffentlicht am ,
Das OpenSSL-Projekt hat weitere sieben Lücken geschlossen.
Das OpenSSL-Projekt hat weitere sieben Lücken geschlossen. (Bild: OpenSSL)

Nach dem Heartbleed-Fehler sind jetzt sieben weitere Fehler der weit verbreiteten Kryptobibliothek OpenSSL entdeckt und repariert worden. Einer davon war seit 2010 bekannt. Es gibt bereits neue Versionen der Software. Linux-Distributionen liefern sie als Updates aus.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Essen
  2. BWI GmbH, Bonn, Meckenheim, Koblenz

Die Fehler lassen unter anderem Man-in-the-Middle-Angriffe zu oder lassen sich nutzen, um bösartigen Code auf einem Zielrechner einzuschleusen und auszuführen. Einer der Fehler wurde vom Japaner Masashi Kikuchi entdeckt und betrifft OpenSSL 1.0.1 und OpenSSL 1.0.2-beta1. Ein Angreifer im Netz kann sich auch mit schwacher Verschlüsselung über ChangeCipherSpec (CCS) in eine TLS-Verbindung einklinken, da CCS auch während eines Handshakes genutzt werden kann (CVE-2014-0224). Sowohl Server als auch Client müssen die fehlerhafte OpenSSL-Variante nutzen.

Zwei weitere Fehler betreffen Datagram Transport Layer Security (DTLS). OpenSSLs fehlerhafte Verarbeitung ungültiger DTLS-Fragmente kann von Angreifern unter Umständen dazu genutzt werden, um bösartigen Code nach einem Pufferüberlauf auf fremden Servern oder Clients einzuschleusen oder auszuführen (CVE-2014-0195). Der Fehler wurde von Jüri Aedla entdeckt und dem OpenSSL-Team am 23. April 2014 mitgeteilt. Außerdem verarbeitet OpenSSL DTLS-Rekursionen nicht korrekt. Mit einem entsprechenden Angriff kann OpenSSL zum Absturz gebracht und so ein DoS-Angriff ausgelöst werden. Diese Schwachstelle wurde von Imre Rad bereits am 9. Mai 2014 an das OpenSSL-Team gemeldet (CVE-2014-0221).

Außerdem entdeckten Felix Gröbert and Ivan Fratrić, dass OpenSSL elliptische Cipher ECDH im anonymen Modus nicht korrekt verarbeitet und so zu einem DoS-Angriff genutzt werden kann. Der als mäßig gravierend eingestufte Fehler (CVE-2014-3470) wurde am 28. Mai 2014 gemeldet.

Über zwei Lücken in der eher selten genutzten Option "SSL_MODE_RELEASE_BUFFERS" kann OpenSSL zum Absturz gebracht werden (CVE-2014-0198, CVE-2010-5298). Während der eine Fehler in der Funktion do_ssl3_write kürzlich öffentlich bekannt wurde, war der zweite Fehler in der Funktion ssl3_read_bytes wohl schon seit 2010 bekannt. Außerdem wurde in OpenSSL 0.9.8za und 1.0.0m ein Fehler repariert, der bereits in Version 1.0.1g behoben wurde.

Seit Bekanntwerden des Heartbleed-Fehlers steht die Kryptobibliothek OpenSSL unter besonderer Beobachtung. Die bisher klammen Mittel des Open-Source-Projekts wurden von verschiedenen Herstellern und Unternehmen aufgestockt. Außerdem soll der Code einer genauen Untersuchung unterzogen werden. Die jetzt reparierten Fehler wurden alle von unabhängigen Entwicklern entdeckt.

Die gepatchten Versionen 0.9.8za, 1.0.0m und 1.0.1h stehen auf der Webseite des Projekts zum Download bereit. Einige Linux-Distributionen haben inzwischen Updates bereitgestellt.



Anzeige
Spiele-Angebote
  1. 16,82€
  2. 54,99€ mit Vorbesteller-Preisgarantie (Release 14.11.)
  3. ab 69,99€ mit Vorbesteller-Preisgarantie (Release 26.10.)
  4. 7,48€

Schnarchnase 06. Jun 2014

Dein Denkfehler ist, dass du denkst security through obscurity würde...

Schiwi 06. Jun 2014

Na ok, nicht alle Punkte mögen auf SSL zutreffen, die genannten Vorteile gelten aber...


Folgen Sie uns
       


i-Cristal autonomer Bus - Interview (englisch)

Der nächste Schritt steht an: Der französische Verkehrsbetrieb plant einen Test mit einem autonom fahenden Bus. Er soll Anfang 2020 in einer französischen Großstadt im normalen Verkehr fahren.

i-Cristal autonomer Bus - Interview (englisch) Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Leistungsschutzrecht: So viel Geld würden die Verlage von Google bekommen
    Leistungsschutzrecht
    So viel Geld würden die Verlage von Google bekommen

    Das europäische Leistungsschutzrecht soll die Zukunft der Presse sichern. Doch in Deutschland würde derzeit ein einziger Verlag fast zwei Drittel der Einnahmen erhalten.
    Eine Analyse von Friedhelm Greis

    1. Netzpolitik Willkommen im europäischen Filternet
    2. Urheberrecht Europaparlament für Leistungsschutzrecht und Uploadfilter
    3. Leistungsschutzrecht/Uploadfilter Wikipedia protestiert gegen Urheberrechtsreform

    Zukunft der Arbeit: Was Automatisierung mit dem Grundeinkommen zu tun hat
    Zukunft der Arbeit
    Was Automatisierung mit dem Grundeinkommen zu tun hat

    Millionen verlieren ihren Job, aber die Gesellschaft gewinnt dabei trotzdem: So stellen sich die Verfechter des bedingungslosen Grundeinkommens die Zukunft vor. Wie soll das gehen?
    Eine Analyse von Daniel Hautmann

    1. Verbraucherschutzminister Kritik an eingeschränktem Widerspruchsrecht im Online-Handel
    2. Bundesfinanzminister Scholz warnt vor Schnellschüssen bei Digitalsteuer
    3. Sommerzeit EU-Kommission will die Zeitumstellung abschaffen

      •  /