OpenSSL: Sieben Fehler gefunden und repariert
Nach dem Heartbleed-Fehler sind jetzt sieben weitere Fehler der weit verbreiteten Kryptobibliothek OpenSSL entdeckt und repariert(öffnet im neuen Fenster) worden. Einer davon war seit 2010 bekannt. Es gibt bereits neue Versionen der Software. Linux-Distributionen liefern sie als Updates aus.
Die Fehler lassen unter anderem Man-in-the-Middle-Angriffe zu oder lassen sich nutzen, um bösartigen Code auf einem Zielrechner einzuschleusen und auszuführen. Einer der Fehler wurde vom Japaner Masashi Kikuchi entdeckt(öffnet im neuen Fenster) und betrifft OpenSSL 1.0.1 und OpenSSL 1.0.2-beta1. Ein Angreifer im Netz kann sich auch mit schwacher Verschlüsselung über ChangeCipherSpec (CCS) in eine TLS-Verbindung einklinken, da CCS auch während eines Handshakes genutzt werden kann ( CVE-2014-0224(öffnet im neuen Fenster) ). Sowohl Server als auch Client müssen die fehlerhafte OpenSSL-Variante nutzen.
Zwei weitere Fehler betreffen Datagram Transport Layer Security (DTLS). OpenSSLs fehlerhafte Verarbeitung ungültiger DTLS-Fragmente kann von Angreifern unter Umständen dazu genutzt werden, um bösartigen Code nach einem Pufferüberlauf auf fremden Servern oder Clients einzuschleusen oder auszuführen ( CVE-2014-0195(öffnet im neuen Fenster) ). Der Fehler wurde von Jüri Aedla entdeckt und dem OpenSSL-Team am 23. April 2014 mitgeteilt. Außerdem verarbeitet OpenSSL DTLS-Rekursionen nicht korrekt. Mit einem entsprechenden Angriff kann OpenSSL zum Absturz gebracht und so ein DoS-Angriff ausgelöst werden. Diese Schwachstelle wurde von Imre Rad bereits am 9. Mai 2014 an das OpenSSL-Team gemeldet ( CVE-2014-0221(öffnet im neuen Fenster) ).
Außerdem entdeckten Felix Gröbert and Ivan Fratrić, dass OpenSSL elliptische Cipher ECDH im anonymen Modus nicht korrekt verarbeitet und so zu einem DoS-Angriff genutzt werden kann. Der als mäßig gravierend eingestufte Fehler ( CVE-2014-3470(öffnet im neuen Fenster) ) wurde am 28. Mai 2014 gemeldet.
Über zwei Lücken in der eher selten genutzten Option "SSL_MODE_RELEASE_BUFFERS" kann OpenSSL zum Absturz gebracht werden ( CVE-2014-0198(öffnet im neuen Fenster) , CVE-2010-5298(öffnet im neuen Fenster) ). Während der eine Fehler in der Funktion do_ssl3_write kürzlich öffentlich bekannt wurde, war der zweite Fehler in der Funktion ssl3_read_bytes wohl schon seit 2010 bekannt. Außerdem wurde in OpenSSL 0.9.8za und 1.0.0m ein Fehler repariert(öffnet im neuen Fenster) , der bereits in Version 1.0.1g behoben wurde.
Seit Bekanntwerden des Heartbleed-Fehlers steht die Kryptobibliothek OpenSSL unter besonderer Beobachtung. Die bisher klammen Mittel des Open-Source-Projekts wurden von verschiedenen Herstellern und Unternehmen aufgestockt . Außerdem soll der Code einer genauen Untersuchung unterzogen werden . Die jetzt reparierten Fehler wurden alle von unabhängigen Entwicklern entdeckt.
Die gepatchten Versionen 0.9.8za, 1.0.0m und 1.0.1h stehen auf der Webseite des Projekts zum Download bereit(öffnet im neuen Fenster) . Einige Linux-Distributionen haben inzwischen Updates bereitgestellt(öffnet im neuen Fenster) .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.