Abo
  • Services:
Anzeige
OpenSSL hat neue Versionen mit Sicherheitskorrekturen veröffentlicht.
OpenSSL hat neue Versionen mit Sicherheitskorrekturen veröffentlicht. (Bild: Screenshot)

Sicherheitslücken: OpenSSL behebt drei Lücken und bietet Workaround für Poodle

Die neue OpenSSL-Version 1.0.1j behebt drei Sicherheitslücken und unterstützt das SCSV-Protokoll, das als Reaktion auf den Poodle-Angriff eingebaut wurde. Die Unterstützung von OpenSSL 0.9.8 läuft aus.

Anzeige

Die Entwickler von OpenSSL haben neue Versionen ihrer Bibliothek veröffentlicht. Darin werden erneut mehrere Sicherheitslücken gestopft. Auch auf die jüngste Poodle-Lücke gibt es eine Reaktion. Die Versionen 1.0.1j, 1.0.0o und 0.9.8zc stehen ab sofort zum Download zur Verfügung.

Speicherlecks führen zu Abstürzen

Eine Lücke, die die OpenSSL-Entwickler als kritisch einstufen, ermöglicht es Angreifern, mittels eines Fehlers in der DTLS-Implementierung ein Memory Leak zu verursachen. Damit könnte ein Angreifer einen Server zum Absturz bringen, wenn der gesamte verfügbare Speicher verbraucht wird. Diese Lücke, die als CVE-2014-3513 bezeichnet wird, wurde ursprünglich von den LibreSSL-Entwicklern entdeckt. Das Besondere: Das Problem kann offenbar auch dann ausgenutzt werden, wenn gar kein DTLS genutzt wird. Die Verwendung von DTLS ist eher selten, es ist eine Adaption des TLS-Protokolls für UDP.

Ein weiteres Memory Leak fand sich im Code für Session Tickets, es lässt sich aber wohl nicht so einfach wie das Leck im DTLS-Code ausnutzen, daher wird es von den OpenSSL-Entwicklern als weniger kritisch betrachtet. Es erhielt die ID CVE-2014-3567.

Ein weiteres Problem betrifft die Kompilierung von OpenSSL. Offenbar war es bisher so, dass selbst, wenn man versucht hatte, die Unterstützung für das alte SSL-Protokoll in Version 3 komplett zu deaktivieren, weiterhin Verbindungen mit diesem alten Protokoll möglich waren. Das dürfte insbesondere im Zusammenhang mit der kürzlich entdeckten Poodle-Lücke problematisch sein, denn die Empfehlung lautet, SSL Version 3 komplett abzuschaffen, da das Protokoll in jeder Form unsicher ist. Das Problem wurde mit der neuen Version behoben und trägt die ID CVE-2014-3568.

SCSV schützt vor Protocol Dance

Neben diesen drei Fixes haben die OpenSSL-Entwickler die Unterstützung für das bisher als Entwurf verfügbare Protokoll SCSV eingebaut. SCSV ist ein Workaround für ein Problem von Webbrowsern. Diese versuchen bei fehlgeschlagenen Verbindungen mit älteren Protokollversionen eine erneute Verbindung. Auch ein Angreifer kann einen Protokoll-Downgrade erzwingen. Ein solcher Downgrade war Teil des kürzlich vorgestellten Poodle-Angriffs, der als CVE-2014-3566 geführt wird. Wenn Server und Client SCSV unterstützen, wird ein derartiger Protokoll-Downgrade, der inzwischen auch als "Protocol Dance" bezeichnet wird, unterbunden.

Wer noch auf die uralte OpenSSL-Version 0.9.8 setzt, sollte bald auf eine neuere Version umsteigen. Das OpenSSL-Team kündigte an, diese nur noch bis Dezember 2015 zu unterstützen.

Nachtrag vom 16.10.2014, 21:58 Uhr

Von LibreSSL wurde heute ebenfalls mit 2.1.1 eine neue Version veröffentlicht. Die LibreSSL-Entwickler haben auf Poodle reagiert, indem sie SSL Version 3 komplett deaktiviert haben.


eye home zur Startseite
hjp 19. Okt 2014

Die Details finde ich auf die Schnelle nicht, aber prinzipiell ist jede Information, die...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Dresden
  2. Horváth & Partners Management Consultants, Berlin, Düsseldorf, Frankfurt, Hamburg, München, Stuttgart
  3. BASF Coatings GmbH, Münster
  4. Deutsche Edelstahlwerke GmbH, Witten


Anzeige
Hardware-Angebote
  1. 166€
  2. 99,99€ inkl. Abzug, Preis wird im Warenkorb angezeigt
  3. 18,99€ statt 39,99€

Folgen Sie uns
       


  1. Falscher Schulz-Tweet

    Junge Union macht Wahlkampf mit Fake-News

  2. BiCS3 X4

    WDs Flash-Speicher fasst 96 GByte pro Chip

  3. ARM Trustzone

    Google bescheinigt Android Vertrauensprobleme

  4. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein

  5. Armatix

    Smart Gun lässt sich mit Magneten hacken

  6. SR5012 und SR6012

    Marantz stellt zwei neue vernetzte AV-Receiver vor

  7. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  8. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung

  9. Quantengatter

    Die Bauteile des Quantencomputers

  10. Microsoft gibt Entwarnung

    MS Paint bleibt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Linux-Distributionen Mehr als 90 Prozent der Debian-Pakete reproduzierbar
  2. Die Woche im Video Strittige Standards, entzweite Bitcoins, eine Riesenkonsole
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF Netzwerker wollen Quic-Pakete tracken
  2. IETF DNS wird sicher, aber erst später
  3. IETF Wie TLS abgehört werden könnte

Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  3. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic

  1. Re: Ernsthaft?

    RichieMc85 | 20:32

  2. Re: Ich hoffe noch immer auf den Durchbruch von...

    Trollifutz | 20:31

  3. Re: Snipping Tool

    HierIch | 20:30

  4. Kurios

    DerDy | 20:24

  5. Re: Sparkasse - das war nach der Überschrift klar.

    sofries | 20:23


  1. 18:42

  2. 15:46

  3. 15:02

  4. 14:09

  5. 13:37

  6. 13:26

  7. 12:26

  8. 12:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel