Abo
  • Services:

Sicherheitslücken: OpenSSL behebt drei Lücken und bietet Workaround für Poodle

Die neue OpenSSL-Version 1.0.1j behebt drei Sicherheitslücken und unterstützt das SCSV-Protokoll, das als Reaktion auf den Poodle-Angriff eingebaut wurde. Die Unterstützung von OpenSSL 0.9.8 läuft aus.

Artikel veröffentlicht am , Hanno Böck
OpenSSL hat neue Versionen mit Sicherheitskorrekturen veröffentlicht.
OpenSSL hat neue Versionen mit Sicherheitskorrekturen veröffentlicht. (Bild: Screenshot)

Die Entwickler von OpenSSL haben neue Versionen ihrer Bibliothek veröffentlicht. Darin werden erneut mehrere Sicherheitslücken gestopft. Auch auf die jüngste Poodle-Lücke gibt es eine Reaktion. Die Versionen 1.0.1j, 1.0.0o und 0.9.8zc stehen ab sofort zum Download zur Verfügung.

Speicherlecks führen zu Abstürzen

Stellenmarkt
  1. Kassenzahnärztliche Vereinigung Bayerns, München
  2. COPA Systeme GmbH & Co. KG, Wesel

Eine Lücke, die die OpenSSL-Entwickler als kritisch einstufen, ermöglicht es Angreifern, mittels eines Fehlers in der DTLS-Implementierung ein Memory Leak zu verursachen. Damit könnte ein Angreifer einen Server zum Absturz bringen, wenn der gesamte verfügbare Speicher verbraucht wird. Diese Lücke, die als CVE-2014-3513 bezeichnet wird, wurde ursprünglich von den LibreSSL-Entwicklern entdeckt. Das Besondere: Das Problem kann offenbar auch dann ausgenutzt werden, wenn gar kein DTLS genutzt wird. Die Verwendung von DTLS ist eher selten, es ist eine Adaption des TLS-Protokolls für UDP.

Ein weiteres Memory Leak fand sich im Code für Session Tickets, es lässt sich aber wohl nicht so einfach wie das Leck im DTLS-Code ausnutzen, daher wird es von den OpenSSL-Entwicklern als weniger kritisch betrachtet. Es erhielt die ID CVE-2014-3567.

Ein weiteres Problem betrifft die Kompilierung von OpenSSL. Offenbar war es bisher so, dass selbst, wenn man versucht hatte, die Unterstützung für das alte SSL-Protokoll in Version 3 komplett zu deaktivieren, weiterhin Verbindungen mit diesem alten Protokoll möglich waren. Das dürfte insbesondere im Zusammenhang mit der kürzlich entdeckten Poodle-Lücke problematisch sein, denn die Empfehlung lautet, SSL Version 3 komplett abzuschaffen, da das Protokoll in jeder Form unsicher ist. Das Problem wurde mit der neuen Version behoben und trägt die ID CVE-2014-3568.

SCSV schützt vor Protocol Dance

Neben diesen drei Fixes haben die OpenSSL-Entwickler die Unterstützung für das bisher als Entwurf verfügbare Protokoll SCSV eingebaut. SCSV ist ein Workaround für ein Problem von Webbrowsern. Diese versuchen bei fehlgeschlagenen Verbindungen mit älteren Protokollversionen eine erneute Verbindung. Auch ein Angreifer kann einen Protokoll-Downgrade erzwingen. Ein solcher Downgrade war Teil des kürzlich vorgestellten Poodle-Angriffs, der als CVE-2014-3566 geführt wird. Wenn Server und Client SCSV unterstützen, wird ein derartiger Protokoll-Downgrade, der inzwischen auch als "Protocol Dance" bezeichnet wird, unterbunden.

Wer noch auf die uralte OpenSSL-Version 0.9.8 setzt, sollte bald auf eine neuere Version umsteigen. Das OpenSSL-Team kündigte an, diese nur noch bis Dezember 2015 zu unterstützen.

Nachtrag vom 16.10.2014, 21:58 Uhr

Von LibreSSL wurde heute ebenfalls mit 2.1.1 eine neue Version veröffentlicht. Die LibreSSL-Entwickler haben auf Poodle reagiert, indem sie SSL Version 3 komplett deaktiviert haben.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. 5€ inkl. FSK-18-Versand
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

hjp 19. Okt 2014

Die Details finde ich auf die Schnelle nicht, aber prinzipiell ist jede Information, die...


Folgen Sie uns
       


Super Tux Kart im LAN angespielt

Super Tux Kart läuft jetzt auch im LAN und WAN.

Super Tux Kart im LAN angespielt Video aufrufen
Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Tesla: Kleiner Gewinn, ungewisse Zukunft
Tesla
Kleiner Gewinn, ungewisse Zukunft

Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
Eine Analyse von Dirk Kunde

  1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
  2. Kundenprotest Tesla senkt Supercharger-Preise wieder
  3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

Begriffe, Architekturen, Produkte: Große Datenmengen in Echtzeit analysieren
Begriffe, Architekturen, Produkte
Große Datenmengen in Echtzeit analysieren

Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
Von George Anadiotis


      •  /