Abo
  • Services:
Anzeige
OpenSSL hat neue Versionen mit Sicherheitskorrekturen veröffentlicht.
OpenSSL hat neue Versionen mit Sicherheitskorrekturen veröffentlicht. (Bild: Screenshot)

Sicherheitslücken: OpenSSL behebt drei Lücken und bietet Workaround für Poodle

Die neue OpenSSL-Version 1.0.1j behebt drei Sicherheitslücken und unterstützt das SCSV-Protokoll, das als Reaktion auf den Poodle-Angriff eingebaut wurde. Die Unterstützung von OpenSSL 0.9.8 läuft aus.

Anzeige

Die Entwickler von OpenSSL haben neue Versionen ihrer Bibliothek veröffentlicht. Darin werden erneut mehrere Sicherheitslücken gestopft. Auch auf die jüngste Poodle-Lücke gibt es eine Reaktion. Die Versionen 1.0.1j, 1.0.0o und 0.9.8zc stehen ab sofort zum Download zur Verfügung.

Speicherlecks führen zu Abstürzen

Eine Lücke, die die OpenSSL-Entwickler als kritisch einstufen, ermöglicht es Angreifern, mittels eines Fehlers in der DTLS-Implementierung ein Memory Leak zu verursachen. Damit könnte ein Angreifer einen Server zum Absturz bringen, wenn der gesamte verfügbare Speicher verbraucht wird. Diese Lücke, die als CVE-2014-3513 bezeichnet wird, wurde ursprünglich von den LibreSSL-Entwicklern entdeckt. Das Besondere: Das Problem kann offenbar auch dann ausgenutzt werden, wenn gar kein DTLS genutzt wird. Die Verwendung von DTLS ist eher selten, es ist eine Adaption des TLS-Protokolls für UDP.

Ein weiteres Memory Leak fand sich im Code für Session Tickets, es lässt sich aber wohl nicht so einfach wie das Leck im DTLS-Code ausnutzen, daher wird es von den OpenSSL-Entwicklern als weniger kritisch betrachtet. Es erhielt die ID CVE-2014-3567.

Ein weiteres Problem betrifft die Kompilierung von OpenSSL. Offenbar war es bisher so, dass selbst, wenn man versucht hatte, die Unterstützung für das alte SSL-Protokoll in Version 3 komplett zu deaktivieren, weiterhin Verbindungen mit diesem alten Protokoll möglich waren. Das dürfte insbesondere im Zusammenhang mit der kürzlich entdeckten Poodle-Lücke problematisch sein, denn die Empfehlung lautet, SSL Version 3 komplett abzuschaffen, da das Protokoll in jeder Form unsicher ist. Das Problem wurde mit der neuen Version behoben und trägt die ID CVE-2014-3568.

SCSV schützt vor Protocol Dance

Neben diesen drei Fixes haben die OpenSSL-Entwickler die Unterstützung für das bisher als Entwurf verfügbare Protokoll SCSV eingebaut. SCSV ist ein Workaround für ein Problem von Webbrowsern. Diese versuchen bei fehlgeschlagenen Verbindungen mit älteren Protokollversionen eine erneute Verbindung. Auch ein Angreifer kann einen Protokoll-Downgrade erzwingen. Ein solcher Downgrade war Teil des kürzlich vorgestellten Poodle-Angriffs, der als CVE-2014-3566 geführt wird. Wenn Server und Client SCSV unterstützen, wird ein derartiger Protokoll-Downgrade, der inzwischen auch als "Protocol Dance" bezeichnet wird, unterbunden.

Wer noch auf die uralte OpenSSL-Version 0.9.8 setzt, sollte bald auf eine neuere Version umsteigen. Das OpenSSL-Team kündigte an, diese nur noch bis Dezember 2015 zu unterstützen.

Nachtrag vom 16.10.2014, 21:58 Uhr

Von LibreSSL wurde heute ebenfalls mit 2.1.1 eine neue Version veröffentlicht. Die LibreSSL-Entwickler haben auf Poodle reagiert, indem sie SSL Version 3 komplett deaktiviert haben.


eye home zur Startseite
hjp 19. Okt 2014

Die Details finde ich auf die Schnelle nicht, aber prinzipiell ist jede Information, die...



Anzeige

Stellenmarkt
  1. Bechtle Onsite Services GmbH, Neckarsulm
  2. Sonntag & Partner Partnerschaftsgesellschaft mbB, Augsburg
  3. Leopold Kostal GmbH & Co. KG, Hagen
  4. über HRM CONSULTING GmbH, Konstanz (Home-Office)


Anzeige
Top-Angebote
  1. 299,00€
  2. 69,00€
  3. 222,00€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Machen wir doch mal die Probe aufs Exempel

    Sharra | 19:32

  2. "mangelnde Transparenz"

    Lord Gamma | 19:32

  3. Re: Siri und diktieren

    Lord Gamma | 19:30

  4. Anbindung an Passwortmanager

    nille02 | 19:23

  5. Von Maas lernen

    klaus9999 | 19:12


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel