Sicherheitslücken: OpenSSL behebt drei Lücken und bietet Workaround für Poodle

Die neue OpenSSL-Version 1.0.1j behebt drei Sicherheitslücken und unterstützt das SCSV-Protokoll, das als Reaktion auf den Poodle-Angriff eingebaut wurde. Die Unterstützung von OpenSSL 0.9.8 läuft aus.

Artikel veröffentlicht am , Hanno Böck
OpenSSL hat neue Versionen mit Sicherheitskorrekturen veröffentlicht.
OpenSSL hat neue Versionen mit Sicherheitskorrekturen veröffentlicht. (Bild: Screenshot)

Die Entwickler von OpenSSL haben neue Versionen ihrer Bibliothek veröffentlicht. Darin werden erneut mehrere Sicherheitslücken gestopft. Auch auf die jüngste Poodle-Lücke gibt es eine Reaktion. Die Versionen 1.0.1j, 1.0.0o und 0.9.8zc stehen ab sofort zum Download zur Verfügung.

Speicherlecks führen zu Abstürzen

Stellenmarkt
  1. Portfolio Demand & Roadmap Manager (m/w/d)
    Vodafone GmbH, Düsseldorf
  2. Master Data Steward - Senior Expert MDM (m/w/d)
    Fressnapf Holding SE, Krefeld
Detailsuche

Eine Lücke, die die OpenSSL-Entwickler als kritisch einstufen, ermöglicht es Angreifern, mittels eines Fehlers in der DTLS-Implementierung ein Memory Leak zu verursachen. Damit könnte ein Angreifer einen Server zum Absturz bringen, wenn der gesamte verfügbare Speicher verbraucht wird. Diese Lücke, die als CVE-2014-3513 bezeichnet wird, wurde ursprünglich von den LibreSSL-Entwicklern entdeckt. Das Besondere: Das Problem kann offenbar auch dann ausgenutzt werden, wenn gar kein DTLS genutzt wird. Die Verwendung von DTLS ist eher selten, es ist eine Adaption des TLS-Protokolls für UDP.

Ein weiteres Memory Leak fand sich im Code für Session Tickets, es lässt sich aber wohl nicht so einfach wie das Leck im DTLS-Code ausnutzen, daher wird es von den OpenSSL-Entwicklern als weniger kritisch betrachtet. Es erhielt die ID CVE-2014-3567.

Ein weiteres Problem betrifft die Kompilierung von OpenSSL. Offenbar war es bisher so, dass selbst, wenn man versucht hatte, die Unterstützung für das alte SSL-Protokoll in Version 3 komplett zu deaktivieren, weiterhin Verbindungen mit diesem alten Protokoll möglich waren. Das dürfte insbesondere im Zusammenhang mit der kürzlich entdeckten Poodle-Lücke problematisch sein, denn die Empfehlung lautet, SSL Version 3 komplett abzuschaffen, da das Protokoll in jeder Form unsicher ist. Das Problem wurde mit der neuen Version behoben und trägt die ID CVE-2014-3568.

SCSV schützt vor Protocol Dance

Golem Akademie
  1. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
Weitere IT-Trainings

Neben diesen drei Fixes haben die OpenSSL-Entwickler die Unterstützung für das bisher als Entwurf verfügbare Protokoll SCSV eingebaut. SCSV ist ein Workaround für ein Problem von Webbrowsern. Diese versuchen bei fehlgeschlagenen Verbindungen mit älteren Protokollversionen eine erneute Verbindung. Auch ein Angreifer kann einen Protokoll-Downgrade erzwingen. Ein solcher Downgrade war Teil des kürzlich vorgestellten Poodle-Angriffs, der als CVE-2014-3566 geführt wird. Wenn Server und Client SCSV unterstützen, wird ein derartiger Protokoll-Downgrade, der inzwischen auch als "Protocol Dance" bezeichnet wird, unterbunden.

Wer noch auf die uralte OpenSSL-Version 0.9.8 setzt, sollte bald auf eine neuere Version umsteigen. Das OpenSSL-Team kündigte an, diese nur noch bis Dezember 2015 zu unterstützen.

Nachtrag vom 16.10.2014, 21:58 Uhr

Von LibreSSL wurde heute ebenfalls mit 2.1.1 eine neue Version veröffentlicht. Die LibreSSL-Entwickler haben auf Poodle reagiert, indem sie SSL Version 3 komplett deaktiviert haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Snapdragon 8 Gen1
Der erste ARMv9-Smartphone-Drache ist da

Neuer Name, neue Kerne: Der Snapdragon 8 Gen1 nutzt ARMv9-Technik, auch das 5G-Modem und die künstliche Intelligenz sind viel besser.

Snapdragon 8 Gen1: Der erste ARMv9-Smartphone-Drache ist da
Artikel
  1. TTDSG: Neue Cookie-Regelung in Kraft getreten
    TTDSG
    Neue Cookie-Regelung in Kraft getreten

    Mit jahrelanger Verspätung macht Deutschland die Cookie-Einwilligung zur Pflicht. Die Verordnung zu Einwilligungsdiensten lässt noch auf sich warten.

  2. Apple: Macbook Pro 2021 hat Ladeprobleme
    Apple
    Macbook Pro 2021 hat Ladeprobleme

    Die neuen Apple Macbook Pro bereiten einigen Nutzern Probleme, wenn sie im ausgeschalteten Zustand geladen werden sollen.

  3. Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
    Prozessoren
    Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

    Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: Bis zu 75% auf Switch-Spiele • AOC 31,5" WQHD 165Hz 289,90€ • Gaming-Sale bei MediaMarkt • G.Skill 64GB Kit DDR4-3800 319€ • Bis zu 300€ Direktabzug: u. a. TVs, Laptops • WD MyBook HDD 18TB 329€ • Switch OLED 359,99€ • Xbox Series S 275,99€ [Werbung]
    •  /