Abo
  • Services:
Anzeige
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden.
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia)

Sicherheitslücke: OpenSSL akzeptiert falsche Zertifikate

Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden.
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia)

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

Anzeige

Das OpenSSL-Team hat erneut ein Sicherheitsupdate für seine Software herausgegeben. Die Versionen 1.0.2d und 1.0.1p beheben einen Fehler bei der Prüfung von Zertifikatsketten. Ein Angreifer kann hierbei einem Nutzer ein ungültiges Zertifikat als gültig vorgaukeln.

Fehlerhafte Zertifikatsketten werden akzeptiert

Laut der Fehlerbeschreibung tritt das Problem auf, wenn OpenSSL beim Validieren einer Zertifikatskette scheitert. Anschließend versucht OpenSSL erneut, eine Zertifikatskette aufzubauen, prüft aber dabei die Eigenschaften von Zertifikaten nicht korrekt. Das führt dazu, dass gewöhnliche Zertifikate als Zertifizierungsstellen fungieren können. Somit kann jeder, der irgendein gültiges Zertifikat besitzt, damit für OpenSSL scheinbar gültige Zertifikate ausstellen. Entdeckt wurde der Fehler vom Google-Entwickler David Benjamin.

Es handelt sich zweifelsohne um eine gravierende Sicherheitslücke, aber die Zahl der betroffenen Nutzer dürfte trotzdem eher begrenzt sein. Denn meistens überprüfen nur Clientapplikationen Zertifikate. Die meisten Webbrowser benutzen jedoch kein OpenSSL. Betroffen sind einige Mailanwendungen und andere Tools, die OpenSSL clientseitig einsetzen. Auch Server, die Clientzertifikate akzeptieren, sollten dringend aktualisiert werden. Im Google-Fork BoringSSL, der teilweise von Chrome genutzt wird, tritt die Lücke nicht auf.

Fehler im Rahmen des Juni-Updates

Eingeführt wurde der Fehler erst mit den im Juni veröffentlichten Versionen 1.0.1n und 1.0.2b. Ältere Versionszweige sind nicht betroffen. Die Sicherheitslücke hat die Kennung CVE-2015-1793 erhalten.

Im Rahmen des Updates weisen die OpenSSL-Entwickler nochmals darauf hin, dass die alten Versionszweige 0.9.8 und 1.0.0 bald nicht mehr unterstützt werden. Nur noch bis Ende Dezember 2015 wird es für diese Versionen Sicherheitsupdates geben. Alle Nutzer von OpenSSL sollten vorher auf die neueren Versionszweige umsteigen.


eye home zur Startseite
Popkornium18 10. Jul 2015

Die letzten OpenSSL Lücken haben ja den ein oder anderen Fork hervorgebracht (LibreSSL...

nn.max 09. Jul 2015

Gut gemacht.



Anzeige

Stellenmarkt
  1. Bosch Service Solutions Magdeburg GmbH, Berlin
  2. Continental AG, Frankfurt
  3. zeb/rolfes.schierenbeck.associates gmbh, Berlin, Frankfurt am Main, Hamburg, München, Münster
  4. Dr. August Oetker KG, Bielefeld


Anzeige
Spiele-Angebote
  1. (-8%) 45,99€
  2. 19,99€ (Vorbesteller-Preisgarantie)
  3. 79€

Folgen Sie uns
       


  1. Tele Columbus

    1 GBit würden "gegenwärtig nur die Nerds buchen"

  2. Systemkamera

    Leica CL verbindet Retro-Design mit neuester Technik

  3. Android

    Google bekommt Standortdaten auch ohne GPS-Aktivierung

  4. Kabelnetz

    Primacom darf Kundendaten nicht weitergeben

  5. SX-10 Aurora Tsubasa

    NECs Beschleuniger nutzt sechs HBM2-Stacks

  6. Virtual Reality

    Huawei und TPCast wollen VR mit 5G streamen

  7. Wayland-Desktop

    Nvidia bittet um Mitarbeit an Linux-Speicher-API

  8. Kabelnetz

    Vodafone liefert Kabelradio-Receiver mit Analogabschaltung

  9. Einigung erzielt

    EU verbietet Geoblocking im Online-Handel

  10. Unitymedia

    Discounter Eazy kommt technisch nicht an das TV-Kabelnetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

  1. Re: The machine that builds the machine

    MAGA | 22:19

  2. Re: Ist doch alles "kostenlos"

    ML82 | 22:17

  3. Init7 - günstiger

    SJ | 22:15

  4. Init7: 777/y

    SJ | 22:13

  5. Partyyyyy!

    JouMxyzptlk | 22:09


  1. 20:00

  2. 18:28

  3. 18:19

  4. 17:51

  5. 16:55

  6. 16:06

  7. 15:51

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel