Abo
  • Services:

Sicherheitslücke: OpenSSL akzeptiert falsche Zertifikate

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

Artikel veröffentlicht am , Hanno Böck
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden.
Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia)

Das OpenSSL-Team hat erneut ein Sicherheitsupdate für seine Software herausgegeben. Die Versionen 1.0.2d und 1.0.1p beheben einen Fehler bei der Prüfung von Zertifikatsketten. Ein Angreifer kann hierbei einem Nutzer ein ungültiges Zertifikat als gültig vorgaukeln.

Fehlerhafte Zertifikatsketten werden akzeptiert

Stellenmarkt
  1. Freie Hansestadt Bremen Die Senatorin für Finanzen Referat 33 - Personalentwicklung, Bremen
  2. Hochschule RheinMain, Wiesbaden

Laut der Fehlerbeschreibung tritt das Problem auf, wenn OpenSSL beim Validieren einer Zertifikatskette scheitert. Anschließend versucht OpenSSL erneut, eine Zertifikatskette aufzubauen, prüft aber dabei die Eigenschaften von Zertifikaten nicht korrekt. Das führt dazu, dass gewöhnliche Zertifikate als Zertifizierungsstellen fungieren können. Somit kann jeder, der irgendein gültiges Zertifikat besitzt, damit für OpenSSL scheinbar gültige Zertifikate ausstellen. Entdeckt wurde der Fehler vom Google-Entwickler David Benjamin.

Es handelt sich zweifelsohne um eine gravierende Sicherheitslücke, aber die Zahl der betroffenen Nutzer dürfte trotzdem eher begrenzt sein. Denn meistens überprüfen nur Clientapplikationen Zertifikate. Die meisten Webbrowser benutzen jedoch kein OpenSSL. Betroffen sind einige Mailanwendungen und andere Tools, die OpenSSL clientseitig einsetzen. Auch Server, die Clientzertifikate akzeptieren, sollten dringend aktualisiert werden. Im Google-Fork BoringSSL, der teilweise von Chrome genutzt wird, tritt die Lücke nicht auf.

Fehler im Rahmen des Juni-Updates

Eingeführt wurde der Fehler erst mit den im Juni veröffentlichten Versionen 1.0.1n und 1.0.2b. Ältere Versionszweige sind nicht betroffen. Die Sicherheitslücke hat die Kennung CVE-2015-1793 erhalten.

Im Rahmen des Updates weisen die OpenSSL-Entwickler nochmals darauf hin, dass die alten Versionszweige 0.9.8 und 1.0.0 bald nicht mehr unterstützt werden. Nur noch bis Ende Dezember 2015 wird es für diese Versionen Sicherheitsupdates geben. Alle Nutzer von OpenSSL sollten vorher auf die neueren Versionszweige umsteigen.



Anzeige
Top-Angebote
  1. ab 62,98€ (Release am Freitag, mit Vorbesteller-Preisgarantie)
  2. 249,00€
  3. 249,00€

Popkornium18 10. Jul 2015

Die letzten OpenSSL Lücken haben ja den ein oder anderen Fork hervorgebracht (LibreSSL...

nn.max 09. Jul 2015

Gut gemacht.


Folgen Sie uns
       


Pocophone F1 - Test

Das Pocophone F1 gehört zu den günstigsten Topsmartphones auf dem Markt - nur 330 Euro müssen Käufer für das Gerät bezahlen. Dafür bekommen sie eine Dualkamera und einen Snapdragon 845. Wer mit ein paar Kompromissen leben kann, macht mit dem Smartphone nichts falsch.

Pocophone F1 - Test Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


      •  /