Abo
  • Services:
Anzeige
Das OpenSSL-Projekt hat weitere sieben Lücken geschlossen.
Das OpenSSL-Projekt hat weitere sieben Lücken geschlossen. (Bild: OpenSSL)

OpenSSL: Sieben Fehler gefunden und repariert

In der Kryptobibliothek OpenSSL sind weitere teils gravierende Sicherheitslücken entdeckt worden. Patches dafür und neue Versionen der Software gibt es bereits.

Anzeige

Nach dem Heartbleed-Fehler sind jetzt sieben weitere Fehler der weit verbreiteten Kryptobibliothek OpenSSL entdeckt und repariert worden. Einer davon war seit 2010 bekannt. Es gibt bereits neue Versionen der Software. Linux-Distributionen liefern sie als Updates aus.

Die Fehler lassen unter anderem Man-in-the-Middle-Angriffe zu oder lassen sich nutzen, um bösartigen Code auf einem Zielrechner einzuschleusen und auszuführen. Einer der Fehler wurde vom Japaner Masashi Kikuchi entdeckt und betrifft OpenSSL 1.0.1 und OpenSSL 1.0.2-beta1. Ein Angreifer im Netz kann sich auch mit schwacher Verschlüsselung über ChangeCipherSpec (CCS) in eine TLS-Verbindung einklinken, da CCS auch während eines Handshakes genutzt werden kann (CVE-2014-0224). Sowohl Server als auch Client müssen die fehlerhafte OpenSSL-Variante nutzen.

Zwei weitere Fehler betreffen Datagram Transport Layer Security (DTLS). OpenSSLs fehlerhafte Verarbeitung ungültiger DTLS-Fragmente kann von Angreifern unter Umständen dazu genutzt werden, um bösartigen Code nach einem Pufferüberlauf auf fremden Servern oder Clients einzuschleusen oder auszuführen (CVE-2014-0195). Der Fehler wurde von Jüri Aedla entdeckt und dem OpenSSL-Team am 23. April 2014 mitgeteilt. Außerdem verarbeitet OpenSSL DTLS-Rekursionen nicht korrekt. Mit einem entsprechenden Angriff kann OpenSSL zum Absturz gebracht und so ein DoS-Angriff ausgelöst werden. Diese Schwachstelle wurde von Imre Rad bereits am 9. Mai 2014 an das OpenSSL-Team gemeldet (CVE-2014-0221).

Außerdem entdeckten Felix Gröbert and Ivan Fratrić, dass OpenSSL elliptische Cipher ECDH im anonymen Modus nicht korrekt verarbeitet und so zu einem DoS-Angriff genutzt werden kann. Der als mäßig gravierend eingestufte Fehler (CVE-2014-3470) wurde am 28. Mai 2014 gemeldet.

Über zwei Lücken in der eher selten genutzten Option "SSL_MODE_RELEASE_BUFFERS" kann OpenSSL zum Absturz gebracht werden (CVE-2014-0198, CVE-2010-5298). Während der eine Fehler in der Funktion do_ssl3_write kürzlich öffentlich bekannt wurde, war der zweite Fehler in der Funktion ssl3_read_bytes wohl schon seit 2010 bekannt. Außerdem wurde in OpenSSL 0.9.8za und 1.0.0m ein Fehler repariert, der bereits in Version 1.0.1g behoben wurde.

Seit Bekanntwerden des Heartbleed-Fehlers steht die Kryptobibliothek OpenSSL unter besonderer Beobachtung. Die bisher klammen Mittel des Open-Source-Projekts wurden von verschiedenen Herstellern und Unternehmen aufgestockt. Außerdem soll der Code einer genauen Untersuchung unterzogen werden. Die jetzt reparierten Fehler wurden alle von unabhängigen Entwicklern entdeckt.

Die gepatchten Versionen 0.9.8za, 1.0.0m und 1.0.1h stehen auf der Webseite des Projekts zum Download bereit. Einige Linux-Distributionen haben inzwischen Updates bereitgestellt.


eye home zur Startseite
Schnarchnase 06. Jun 2014

Dein Denkfehler ist, dass du denkst security through obscurity würde...

Schiwi 06. Jun 2014

Na ok, nicht alle Punkte mögen auf SSL zutreffen, die genannten Vorteile gelten aber...



Anzeige

Stellenmarkt
  1. ENERCON GmbH, Aurich, Bremen
  2. SICK AG, Waldkirch bei Freiburg im Breisgau
  3. VDI/VDE Innovation + Technik GmbH, Berlin
  4. Wilhelm Geiger GmbH & Co. KG, Oberstdorf


Anzeige
Top-Angebote
  1. ab 179,99€
  2. 499€ + 4,99€ Versand oder Abholung im Markt
  3. 499,99€ + 4,99€ Versand oder Abholung im Markt

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Viagra, Datenbankpasswörter und uralte Sicherheitslücken

  2. Auto

    Tesla will eigene Hardware für seine autonom fahrenden Autos

  3. Pipewire

    Fedora bekommt neues Multimedia-Framework

  4. Security

    Nest stellt komplette Alarmanlage vor

  5. Creators Update

    "Das zuverlässigste und sicherste Windows seit jeher"

  6. Apple iOS 11

    Wer WLAN und Bluetooth abschaltet, benutzt es weiter

  7. Minecraft

    Eine Server-Farm für (fast) alle Klötzchenbauer

  8. Kabelnetz

    Unitymedia bringt neue Connect App, Booster und Sprachsuche

  9. PowerVR 9XE/9XM und PowerVR 2NX

    Imagination Technologies bringt eigenen AI-Beschleuniger

  10. Auslastung

    Wenn es Abend wird im Kabelnetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  2. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht
  3. Deutsche Telekom Narrowband-IoT-Servicepakete ab 200 Euro

Mobilestudio Pro 16 im Test: Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
Mobilestudio Pro 16 im Test
Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  1. Wacom Vorschau auf Cintiq-Stift-Displays mit 32 und 24 Zoll

Play Austria: Die Kaffeehauskultur reicht bis in die Spielebranche
Play Austria
Die Kaffeehauskultur reicht bis in die Spielebranche
  1. Human Head Studios Nach 17 Jahren kommt die Fortsetzung für Rune
  2. Indiegames Erfahrungen mit der zufallsgenerierten Apokalypse
  3. Spielebranche Mikrotransaktionen boomen zulasten der Kaufspiele

  1. Re: Habe es immer noch nicht ganz verstanden

    MasterBlupperer | 12:20

  2. Re: Ja? Wieso funktioniert dann mein Edge und die...

    windermeer | 12:20

  3. Abmahnung wäre angebracht

    Aludrin | 12:20

  4. Re: Unnötig wie ein Kropf

    Niaxa | 12:19

  5. Re: Speedtest Geschummel - Nicht repräsentativ

    ArcherV | 12:19


  1. 12:05

  2. 12:02

  3. 11:58

  4. 11:36

  5. 11:21

  6. 11:06

  7. 10:03

  8. 10:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel