Abo
  • Services:
Anzeige
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden.
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia)

Sicherheitslücke: OpenSSL akzeptiert falsche Zertifikate

Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden.
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia)

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

Anzeige

Das OpenSSL-Team hat erneut ein Sicherheitsupdate für seine Software herausgegeben. Die Versionen 1.0.2d und 1.0.1p beheben einen Fehler bei der Prüfung von Zertifikatsketten. Ein Angreifer kann hierbei einem Nutzer ein ungültiges Zertifikat als gültig vorgaukeln.

Fehlerhafte Zertifikatsketten werden akzeptiert

Laut der Fehlerbeschreibung tritt das Problem auf, wenn OpenSSL beim Validieren einer Zertifikatskette scheitert. Anschließend versucht OpenSSL erneut, eine Zertifikatskette aufzubauen, prüft aber dabei die Eigenschaften von Zertifikaten nicht korrekt. Das führt dazu, dass gewöhnliche Zertifikate als Zertifizierungsstellen fungieren können. Somit kann jeder, der irgendein gültiges Zertifikat besitzt, damit für OpenSSL scheinbar gültige Zertifikate ausstellen. Entdeckt wurde der Fehler vom Google-Entwickler David Benjamin.

Es handelt sich zweifelsohne um eine gravierende Sicherheitslücke, aber die Zahl der betroffenen Nutzer dürfte trotzdem eher begrenzt sein. Denn meistens überprüfen nur Clientapplikationen Zertifikate. Die meisten Webbrowser benutzen jedoch kein OpenSSL. Betroffen sind einige Mailanwendungen und andere Tools, die OpenSSL clientseitig einsetzen. Auch Server, die Clientzertifikate akzeptieren, sollten dringend aktualisiert werden. Im Google-Fork BoringSSL, der teilweise von Chrome genutzt wird, tritt die Lücke nicht auf.

Fehler im Rahmen des Juni-Updates

Eingeführt wurde der Fehler erst mit den im Juni veröffentlichten Versionen 1.0.1n und 1.0.2b. Ältere Versionszweige sind nicht betroffen. Die Sicherheitslücke hat die Kennung CVE-2015-1793 erhalten.

Im Rahmen des Updates weisen die OpenSSL-Entwickler nochmals darauf hin, dass die alten Versionszweige 0.9.8 und 1.0.0 bald nicht mehr unterstützt werden. Nur noch bis Ende Dezember 2015 wird es für diese Versionen Sicherheitsupdates geben. Alle Nutzer von OpenSSL sollten vorher auf die neueren Versionszweige umsteigen.


eye home zur Startseite
Popkornium18 10. Jul 2015

Die letzten OpenSSL Lücken haben ja den ein oder anderen Fork hervorgebracht (LibreSSL...

nn.max 09. Jul 2015

Gut gemacht.



Anzeige

Stellenmarkt
  1. Groz-Beckert KG, Albstadt
  2. T-Systems International GmbH, Leinfelden-Echterdingen, München, Frankfurt am Main
  3. Sodexo Services GmbH, Rüsselsheim
  4. T-Systems International GmbH, Berlin, Wolfsburg


Anzeige
Hardware-Angebote
  1. ab 232,90€ bei Alternate gelistet
  2. (täglich neue Deals)
  3. 239,00€

Folgen Sie uns
       


  1. Hauptversammlung

    Rocket Internet will eine Bank sein

  2. Alphabet

    Google-Chef verdient 200 Millionen US-Dollar

  3. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  4. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  5. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  6. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  7. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  8. Die Woche im Video

    Mr. Robot und Ms MINT

  9. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  10. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: 40.000 EUR.

    Unix_Linux | 02:23

  2. Re: 1 Dollar Gehalt

    Sharra | 01:55

  3. Re: Mrs. ist verheiratet - korrekt wäre Ms oder Ms.

    PlonkPlonk | 01:54

  4. Re: Kein Mensch ist 200 Mio. Dollar/Euro Wert

    Sharra | 01:41

  5. Re: Lieber das U-Bahnnetz ausbauen!

    Luke321 | 01:10


  1. 13:08

  2. 12:21

  3. 15:07

  4. 14:32

  5. 13:35

  6. 12:56

  7. 12:15

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel