Abo
  • Services:

Sicherheitslücken: OpenSSL behebt drei Lücken und bietet Workaround für Poodle

Die neue OpenSSL-Version 1.0.1j behebt drei Sicherheitslücken und unterstützt das SCSV-Protokoll, das als Reaktion auf den Poodle-Angriff eingebaut wurde. Die Unterstützung von OpenSSL 0.9.8 läuft aus.

Artikel veröffentlicht am , Hanno Böck
OpenSSL hat neue Versionen mit Sicherheitskorrekturen veröffentlicht.
OpenSSL hat neue Versionen mit Sicherheitskorrekturen veröffentlicht. (Bild: Screenshot)

Die Entwickler von OpenSSL haben neue Versionen ihrer Bibliothek veröffentlicht. Darin werden erneut mehrere Sicherheitslücken gestopft. Auch auf die jüngste Poodle-Lücke gibt es eine Reaktion. Die Versionen 1.0.1j, 1.0.0o und 0.9.8zc stehen ab sofort zum Download zur Verfügung.

Speicherlecks führen zu Abstürzen

Stellenmarkt
  1. Endress+Hauser Wetzer GmbH + Co. KG, Nesselwang
  2. operational services GmbH & Co. KG, Dienstsitz Leinfelden-Echterdingen, Einsatzort Mettingen

Eine Lücke, die die OpenSSL-Entwickler als kritisch einstufen, ermöglicht es Angreifern, mittels eines Fehlers in der DTLS-Implementierung ein Memory Leak zu verursachen. Damit könnte ein Angreifer einen Server zum Absturz bringen, wenn der gesamte verfügbare Speicher verbraucht wird. Diese Lücke, die als CVE-2014-3513 bezeichnet wird, wurde ursprünglich von den LibreSSL-Entwicklern entdeckt. Das Besondere: Das Problem kann offenbar auch dann ausgenutzt werden, wenn gar kein DTLS genutzt wird. Die Verwendung von DTLS ist eher selten, es ist eine Adaption des TLS-Protokolls für UDP.

Ein weiteres Memory Leak fand sich im Code für Session Tickets, es lässt sich aber wohl nicht so einfach wie das Leck im DTLS-Code ausnutzen, daher wird es von den OpenSSL-Entwicklern als weniger kritisch betrachtet. Es erhielt die ID CVE-2014-3567.

Ein weiteres Problem betrifft die Kompilierung von OpenSSL. Offenbar war es bisher so, dass selbst, wenn man versucht hatte, die Unterstützung für das alte SSL-Protokoll in Version 3 komplett zu deaktivieren, weiterhin Verbindungen mit diesem alten Protokoll möglich waren. Das dürfte insbesondere im Zusammenhang mit der kürzlich entdeckten Poodle-Lücke problematisch sein, denn die Empfehlung lautet, SSL Version 3 komplett abzuschaffen, da das Protokoll in jeder Form unsicher ist. Das Problem wurde mit der neuen Version behoben und trägt die ID CVE-2014-3568.

SCSV schützt vor Protocol Dance

Neben diesen drei Fixes haben die OpenSSL-Entwickler die Unterstützung für das bisher als Entwurf verfügbare Protokoll SCSV eingebaut. SCSV ist ein Workaround für ein Problem von Webbrowsern. Diese versuchen bei fehlgeschlagenen Verbindungen mit älteren Protokollversionen eine erneute Verbindung. Auch ein Angreifer kann einen Protokoll-Downgrade erzwingen. Ein solcher Downgrade war Teil des kürzlich vorgestellten Poodle-Angriffs, der als CVE-2014-3566 geführt wird. Wenn Server und Client SCSV unterstützen, wird ein derartiger Protokoll-Downgrade, der inzwischen auch als "Protocol Dance" bezeichnet wird, unterbunden.

Wer noch auf die uralte OpenSSL-Version 0.9.8 setzt, sollte bald auf eine neuere Version umsteigen. Das OpenSSL-Team kündigte an, diese nur noch bis Dezember 2015 zu unterstützen.

Nachtrag vom 16.10.2014, 21:58 Uhr

Von LibreSSL wurde heute ebenfalls mit 2.1.1 eine neue Version veröffentlicht. Die LibreSSL-Entwickler haben auf Poodle reagiert, indem sie SSL Version 3 komplett deaktiviert haben.



Anzeige
Spiele-Angebote
  1. 42,49€
  2. 13,49€
  3. 2,49€
  4. 24,99€

hjp 19. Okt 2014

Die Details finde ich auf die Schnelle nicht, aber prinzipiell ist jede Information, die...


Folgen Sie uns
       


Nerf Laser Ops Pro - Test

Hasbros neue Laser-Ops-Pro-Blaster verschießen Licht anstelle von Darts. Das tut weniger weh und macht trotzdem Spaß.

Nerf Laser Ops Pro - Test Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
    Need for Speed 3 Hot Pursuit (1998)
    El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

    Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
    Von Michael Wieczorek


        •  /