• IT-Karriere:
  • Services:

Sicherheitslücke: OpenSSL akzeptiert falsche Zertifikate

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

Artikel veröffentlicht am , Hanno Böck
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden.
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia)

Das OpenSSL-Team hat erneut ein Sicherheitsupdate für seine Software herausgegeben. Die Versionen 1.0.2d und 1.0.1p beheben einen Fehler bei der Prüfung von Zertifikatsketten. Ein Angreifer kann hierbei einem Nutzer ein ungültiges Zertifikat als gültig vorgaukeln.

Fehlerhafte Zertifikatsketten werden akzeptiert

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. über duerenhoff GmbH, Raum Neu-Isenburg

Laut der Fehlerbeschreibung tritt das Problem auf, wenn OpenSSL beim Validieren einer Zertifikatskette scheitert. Anschließend versucht OpenSSL erneut, eine Zertifikatskette aufzubauen, prüft aber dabei die Eigenschaften von Zertifikaten nicht korrekt. Das führt dazu, dass gewöhnliche Zertifikate als Zertifizierungsstellen fungieren können. Somit kann jeder, der irgendein gültiges Zertifikat besitzt, damit für OpenSSL scheinbar gültige Zertifikate ausstellen. Entdeckt wurde der Fehler vom Google-Entwickler David Benjamin.

Es handelt sich zweifelsohne um eine gravierende Sicherheitslücke, aber die Zahl der betroffenen Nutzer dürfte trotzdem eher begrenzt sein. Denn meistens überprüfen nur Clientapplikationen Zertifikate. Die meisten Webbrowser benutzen jedoch kein OpenSSL. Betroffen sind einige Mailanwendungen und andere Tools, die OpenSSL clientseitig einsetzen. Auch Server, die Clientzertifikate akzeptieren, sollten dringend aktualisiert werden. Im Google-Fork BoringSSL, der teilweise von Chrome genutzt wird, tritt die Lücke nicht auf.

Fehler im Rahmen des Juni-Updates

Eingeführt wurde der Fehler erst mit den im Juni veröffentlichten Versionen 1.0.1n und 1.0.2b. Ältere Versionszweige sind nicht betroffen. Die Sicherheitslücke hat die Kennung CVE-2015-1793 erhalten.

Im Rahmen des Updates weisen die OpenSSL-Entwickler nochmals darauf hin, dass die alten Versionszweige 0.9.8 und 1.0.0 bald nicht mehr unterstützt werden. Nur noch bis Ende Dezember 2015 wird es für diese Versionen Sicherheitsupdates geben. Alle Nutzer von OpenSSL sollten vorher auf die neueren Versionszweige umsteigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 27,49€
  2. 13,49€
  3. (-67%) 6,66€
  4. (u. a. Assassin's Creed Odyssey für 17,99€, Assassin's Creed Origins für 11€, Far Cry: New...

Popkornium18 10. Jul 2015

Die letzten OpenSSL Lücken haben ja den ein oder anderen Fork hervorgebracht (LibreSSL...

nn.max 09. Jul 2015

Gut gemacht.


Folgen Sie uns
       


Golem.de baut das Makerphone zusammen (Zeitraffer)

Das Makerphone ist ein Handy zum Zusammenbauen. Kinder wie auch Erwachsene können so die Funktionsweise eines Mobiltelefons nachvollziehen.

Golem.de baut das Makerphone zusammen (Zeitraffer) Video aufrufen
Survival-Sandbox-Spiele: Überlebenskämpfe im Sandkasten
Survival-Sandbox-Spiele
Überlebenskämpfe im Sandkasten

Survival-Sandbox-Spiele gibt für jeden Geschmack: Von brutalen Apokalypsen über exotische Dschungelwelten bis hin zur friedlichen Idylle.
Von Rainer Sigl

  1. Twitter & Reddit Viele Berichte über sexuelle Übergriffe in der Spielebranche
  2. Maneater im Test Bissiger Blödsinn
  3. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


    Bluetooth-Hörstöpsel mit ANC im Test: Den Airpods Pro hat die Konkurrenz nichts entgegenzusetzen
    Bluetooth-Hörstöpsel mit ANC im Test
    Den Airpods Pro hat die Konkurrenz nichts entgegenzusetzen

    Die Airpods Pro haben neue Maßstäbe bei Bluetooth-Hörstöpseln gesetzt. Sennheiser und Huawei ziehen mit True Wireless In-Ears mit ANC nach, ohne eine Antwort auf die besonderen Vorzüge des Apple-Produkts zu haben.
    Ein Test von Ingo Pakalski

    1. Bluetooth-Hörstöpsel Google will Klangprobleme beseitigen, Microsoft nicht
    2. Bluetooth-Hörstöpsel Aldi bringt Airpods-Konkurrenz für 25 Euro
    3. Bluetooth-Hörstöpsel Oppos Airpods-Alternative kostet 80 Euro

      •  /