Abo
  • Services:
Anzeige
Das OpenSSL-Projekt hat weitere sieben Lücken geschlossen.
Das OpenSSL-Projekt hat weitere sieben Lücken geschlossen. (Bild: OpenSSL)

OpenSSL: Sieben Fehler gefunden und repariert

In der Kryptobibliothek OpenSSL sind weitere teils gravierende Sicherheitslücken entdeckt worden. Patches dafür und neue Versionen der Software gibt es bereits.

Anzeige

Nach dem Heartbleed-Fehler sind jetzt sieben weitere Fehler der weit verbreiteten Kryptobibliothek OpenSSL entdeckt und repariert worden. Einer davon war seit 2010 bekannt. Es gibt bereits neue Versionen der Software. Linux-Distributionen liefern sie als Updates aus.

Die Fehler lassen unter anderem Man-in-the-Middle-Angriffe zu oder lassen sich nutzen, um bösartigen Code auf einem Zielrechner einzuschleusen und auszuführen. Einer der Fehler wurde vom Japaner Masashi Kikuchi entdeckt und betrifft OpenSSL 1.0.1 und OpenSSL 1.0.2-beta1. Ein Angreifer im Netz kann sich auch mit schwacher Verschlüsselung über ChangeCipherSpec (CCS) in eine TLS-Verbindung einklinken, da CCS auch während eines Handshakes genutzt werden kann (CVE-2014-0224). Sowohl Server als auch Client müssen die fehlerhafte OpenSSL-Variante nutzen.

Zwei weitere Fehler betreffen Datagram Transport Layer Security (DTLS). OpenSSLs fehlerhafte Verarbeitung ungültiger DTLS-Fragmente kann von Angreifern unter Umständen dazu genutzt werden, um bösartigen Code nach einem Pufferüberlauf auf fremden Servern oder Clients einzuschleusen oder auszuführen (CVE-2014-0195). Der Fehler wurde von Jüri Aedla entdeckt und dem OpenSSL-Team am 23. April 2014 mitgeteilt. Außerdem verarbeitet OpenSSL DTLS-Rekursionen nicht korrekt. Mit einem entsprechenden Angriff kann OpenSSL zum Absturz gebracht und so ein DoS-Angriff ausgelöst werden. Diese Schwachstelle wurde von Imre Rad bereits am 9. Mai 2014 an das OpenSSL-Team gemeldet (CVE-2014-0221).

Außerdem entdeckten Felix Gröbert and Ivan Fratrić, dass OpenSSL elliptische Cipher ECDH im anonymen Modus nicht korrekt verarbeitet und so zu einem DoS-Angriff genutzt werden kann. Der als mäßig gravierend eingestufte Fehler (CVE-2014-3470) wurde am 28. Mai 2014 gemeldet.

Über zwei Lücken in der eher selten genutzten Option "SSL_MODE_RELEASE_BUFFERS" kann OpenSSL zum Absturz gebracht werden (CVE-2014-0198, CVE-2010-5298). Während der eine Fehler in der Funktion do_ssl3_write kürzlich öffentlich bekannt wurde, war der zweite Fehler in der Funktion ssl3_read_bytes wohl schon seit 2010 bekannt. Außerdem wurde in OpenSSL 0.9.8za und 1.0.0m ein Fehler repariert, der bereits in Version 1.0.1g behoben wurde.

Seit Bekanntwerden des Heartbleed-Fehlers steht die Kryptobibliothek OpenSSL unter besonderer Beobachtung. Die bisher klammen Mittel des Open-Source-Projekts wurden von verschiedenen Herstellern und Unternehmen aufgestockt. Außerdem soll der Code einer genauen Untersuchung unterzogen werden. Die jetzt reparierten Fehler wurden alle von unabhängigen Entwicklern entdeckt.

Die gepatchten Versionen 0.9.8za, 1.0.0m und 1.0.1h stehen auf der Webseite des Projekts zum Download bereit. Einige Linux-Distributionen haben inzwischen Updates bereitgestellt.


eye home zur Startseite
Schnarchnase 06. Jun 2014

Dein Denkfehler ist, dass du denkst security through obscurity würde...

Schiwi 06. Jun 2014

Na ok, nicht alle Punkte mögen auf SSL zutreffen, die genannten Vorteile gelten aber...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Nürnberg
  2. Jobware Online-Service GmbH, Paderborn
  3. Warner Music Group Germany Holding GmbH, Hamburg
  4. equensWorldline GmbH, Aachen


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Fast & Furious 1-7 Blu-ray 26,49€, Indiana Jones Complete Blu-ray 14,76€, The Complete...
  3. 13,98€ + 5,00€ Versand

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

  1. Re: Marketing scheint bei Unity ein besonders...

    Hakuro | 06:57

  2. Re: Warum überhaupt VLC nutzen

    ML82 | 06:55

  3. Der W 570 ist leider nicht so kabellos wie der...

    MarioWario | 06:44

  4. Re: Akito Thunder 2 + Macbook

    Dan Koes | 05:56

  5. Re: Für Vermögende die kreativ sein wollen..

    awgher | 05:24


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel