Abo
  • Services:
Anzeige
Das OpenSSL-Projekt hat weitere sieben Lücken geschlossen.
Das OpenSSL-Projekt hat weitere sieben Lücken geschlossen. (Bild: OpenSSL)

OpenSSL: Sieben Fehler gefunden und repariert

In der Kryptobibliothek OpenSSL sind weitere teils gravierende Sicherheitslücken entdeckt worden. Patches dafür und neue Versionen der Software gibt es bereits.

Anzeige

Nach dem Heartbleed-Fehler sind jetzt sieben weitere Fehler der weit verbreiteten Kryptobibliothek OpenSSL entdeckt und repariert worden. Einer davon war seit 2010 bekannt. Es gibt bereits neue Versionen der Software. Linux-Distributionen liefern sie als Updates aus.

Die Fehler lassen unter anderem Man-in-the-Middle-Angriffe zu oder lassen sich nutzen, um bösartigen Code auf einem Zielrechner einzuschleusen und auszuführen. Einer der Fehler wurde vom Japaner Masashi Kikuchi entdeckt und betrifft OpenSSL 1.0.1 und OpenSSL 1.0.2-beta1. Ein Angreifer im Netz kann sich auch mit schwacher Verschlüsselung über ChangeCipherSpec (CCS) in eine TLS-Verbindung einklinken, da CCS auch während eines Handshakes genutzt werden kann (CVE-2014-0224). Sowohl Server als auch Client müssen die fehlerhafte OpenSSL-Variante nutzen.

Zwei weitere Fehler betreffen Datagram Transport Layer Security (DTLS). OpenSSLs fehlerhafte Verarbeitung ungültiger DTLS-Fragmente kann von Angreifern unter Umständen dazu genutzt werden, um bösartigen Code nach einem Pufferüberlauf auf fremden Servern oder Clients einzuschleusen oder auszuführen (CVE-2014-0195). Der Fehler wurde von Jüri Aedla entdeckt und dem OpenSSL-Team am 23. April 2014 mitgeteilt. Außerdem verarbeitet OpenSSL DTLS-Rekursionen nicht korrekt. Mit einem entsprechenden Angriff kann OpenSSL zum Absturz gebracht und so ein DoS-Angriff ausgelöst werden. Diese Schwachstelle wurde von Imre Rad bereits am 9. Mai 2014 an das OpenSSL-Team gemeldet (CVE-2014-0221).

Außerdem entdeckten Felix Gröbert and Ivan Fratrić, dass OpenSSL elliptische Cipher ECDH im anonymen Modus nicht korrekt verarbeitet und so zu einem DoS-Angriff genutzt werden kann. Der als mäßig gravierend eingestufte Fehler (CVE-2014-3470) wurde am 28. Mai 2014 gemeldet.

Über zwei Lücken in der eher selten genutzten Option "SSL_MODE_RELEASE_BUFFERS" kann OpenSSL zum Absturz gebracht werden (CVE-2014-0198, CVE-2010-5298). Während der eine Fehler in der Funktion do_ssl3_write kürzlich öffentlich bekannt wurde, war der zweite Fehler in der Funktion ssl3_read_bytes wohl schon seit 2010 bekannt. Außerdem wurde in OpenSSL 0.9.8za und 1.0.0m ein Fehler repariert, der bereits in Version 1.0.1g behoben wurde.

Seit Bekanntwerden des Heartbleed-Fehlers steht die Kryptobibliothek OpenSSL unter besonderer Beobachtung. Die bisher klammen Mittel des Open-Source-Projekts wurden von verschiedenen Herstellern und Unternehmen aufgestockt. Außerdem soll der Code einer genauen Untersuchung unterzogen werden. Die jetzt reparierten Fehler wurden alle von unabhängigen Entwicklern entdeckt.

Die gepatchten Versionen 0.9.8za, 1.0.0m und 1.0.1h stehen auf der Webseite des Projekts zum Download bereit. Einige Linux-Distributionen haben inzwischen Updates bereitgestellt.


eye home zur Startseite
Schnarchnase 06. Jun 2014

Dein Denkfehler ist, dass du denkst security through obscurity würde...

Schiwi 06. Jun 2014

Na ok, nicht alle Punkte mögen auf SSL zutreffen, die genannten Vorteile gelten aber...



Anzeige

Stellenmarkt
  1. Habermaaß GmbH, Bad Rodach
  2. DENIOS AG, Bad Oeynhausen
  3. über Harvey Nash GmbH, Berlin
  4. SQS Software Quality Systems AG, Frankfurt, deutschlandweit


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Falscher Schulz-Tweet

    Junge Union macht Wahlkampf mit Fake-News

  2. BiCS3 X4

    WDs Flash-Speicher fasst 96 GByte pro Chip

  3. ARM Trustzone

    Google bescheinigt Android Vertrauensprobleme

  4. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein

  5. Armatix

    Smart Gun lässt sich mit Magneten hacken

  6. SR5012 und SR6012

    Marantz stellt zwei neue vernetzte AV-Receiver vor

  7. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  8. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung

  9. Quantengatter

    Die Bauteile des Quantencomputers

  10. Microsoft gibt Entwarnung

    MS Paint bleibt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Linux-Distributionen Mehr als 90 Prozent der Debian-Pakete reproduzierbar
  2. Die Woche im Video Strittige Standards, entzweite Bitcoins, eine Riesenkonsole
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF Netzwerker wollen Quic-Pakete tracken
  2. IETF DNS wird sicher, aber erst später
  3. IETF Wie TLS abgehört werden könnte

Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  3. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic

  1. Kurios

    DerDy | 20:24

  2. Re: Sparkasse - das war nach der Überschrift klar.

    sofries | 20:23

  3. Re: Genau das passiert hier bei mir auch

    DerDy | 20:18

  4. Re: mMn sollte man da noch ne bedingung hinzufügen

    Koto | 20:16

  5. Re: Machen die Grünen immer wieder

    thecrew | 20:16


  1. 18:42

  2. 15:46

  3. 15:02

  4. 14:09

  5. 13:37

  6. 13:26

  7. 12:26

  8. 12:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel