Abo
  • Services:
Anzeige
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden.
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia)

Sicherheitslücke: OpenSSL akzeptiert falsche Zertifikate

Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden.
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia)

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

Anzeige

Das OpenSSL-Team hat erneut ein Sicherheitsupdate für seine Software herausgegeben. Die Versionen 1.0.2d und 1.0.1p beheben einen Fehler bei der Prüfung von Zertifikatsketten. Ein Angreifer kann hierbei einem Nutzer ein ungültiges Zertifikat als gültig vorgaukeln.

Fehlerhafte Zertifikatsketten werden akzeptiert

Laut der Fehlerbeschreibung tritt das Problem auf, wenn OpenSSL beim Validieren einer Zertifikatskette scheitert. Anschließend versucht OpenSSL erneut, eine Zertifikatskette aufzubauen, prüft aber dabei die Eigenschaften von Zertifikaten nicht korrekt. Das führt dazu, dass gewöhnliche Zertifikate als Zertifizierungsstellen fungieren können. Somit kann jeder, der irgendein gültiges Zertifikat besitzt, damit für OpenSSL scheinbar gültige Zertifikate ausstellen. Entdeckt wurde der Fehler vom Google-Entwickler David Benjamin.

Es handelt sich zweifelsohne um eine gravierende Sicherheitslücke, aber die Zahl der betroffenen Nutzer dürfte trotzdem eher begrenzt sein. Denn meistens überprüfen nur Clientapplikationen Zertifikate. Die meisten Webbrowser benutzen jedoch kein OpenSSL. Betroffen sind einige Mailanwendungen und andere Tools, die OpenSSL clientseitig einsetzen. Auch Server, die Clientzertifikate akzeptieren, sollten dringend aktualisiert werden. Im Google-Fork BoringSSL, der teilweise von Chrome genutzt wird, tritt die Lücke nicht auf.

Fehler im Rahmen des Juni-Updates

Eingeführt wurde der Fehler erst mit den im Juni veröffentlichten Versionen 1.0.1n und 1.0.2b. Ältere Versionszweige sind nicht betroffen. Die Sicherheitslücke hat die Kennung CVE-2015-1793 erhalten.

Im Rahmen des Updates weisen die OpenSSL-Entwickler nochmals darauf hin, dass die alten Versionszweige 0.9.8 und 1.0.0 bald nicht mehr unterstützt werden. Nur noch bis Ende Dezember 2015 wird es für diese Versionen Sicherheitsupdates geben. Alle Nutzer von OpenSSL sollten vorher auf die neueren Versionszweige umsteigen.


eye home zur Startseite
Popkornium18 10. Jul 2015

Die letzten OpenSSL Lücken haben ja den ein oder anderen Fork hervorgebracht (LibreSSL...

nn.max 09. Jul 2015

Gut gemacht.



Anzeige

Stellenmarkt
  1. A. Kayser Automotive Systems GmbH, Einbeck
  2. LuK GmbH & Co. KG, Bühl
  3. e.solutions GmbH, Ingolstadt
  4. AGRAVIS Raiffeisen AG, Münster


Anzeige
Blu-ray-Angebote
  1. 65,00€
  2. (u. a. Hawaii Five-0, Call the Midwife, Blue Bloods)
  3. (u. a. Unter dem Sand, The Neon Demon, Union Pacific)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  2. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  3. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  4. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  5. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  6. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  7. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren

  8. Synlight

    Wie der Wasserstoff aus dem Sonnenlicht kommen soll

  9. Pietsmiet

    "Alle Twitch-Kanäle sind kostenpflichtiger Rundfunk"

  10. Apache-Lizenz 2.0

    OpenSSL plant Lizenzwechsel an der Community vorbei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Videostreaming im Zug: Maxdome umwirbt Bahnfahrer bei Tempo 230
Videostreaming im Zug
Maxdome umwirbt Bahnfahrer bei Tempo 230
  1. USA Google will Kabelfernsehen über Youtube streamen
  2. Verband DVD-Verleih in Deutschland geht wegen Netflix zurück
  3. Nintendo Vorerst keine Videostreaming-Apps auf Switch

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  2. Instandsetzung Apple macht iPhone-Reparaturen teurer
  3. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer

Lithium-Akkus: Durchbruch verzweifelt gesucht
Lithium-Akkus
Durchbruch verzweifelt gesucht
  1. Super MCharge Smartphone-Akku in 20 Minuten voll geladen
  2. Brandgefahr HP ruft über 100.000 Notebook-Akkus zurück
  3. Brandgefahr Akku mit eingebautem Feuerlöscher

  1. Re: Online Gängelung

    blaub4r | 10:48

  2. Ich komme auf 200-300GB

    HabeHandy | 10:47

  3. Re: 1 Millisekunde

    Eheran | 10:44

  4. Re: Eigenartig

    Eheran | 10:28

  5. Re: 24h XXX-Streams

    Dampfplauderer | 10:24


  1. 15:20

  2. 14:13

  3. 12:52

  4. 12:39

  5. 09:03

  6. 17:45

  7. 17:32

  8. 17:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel