• IT-Karriere:
  • Services:

Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes

Die Entwickler von OpenSSL haben ein Update veröffentlicht, das zahlreiche Sicherheitslücken behebt. Anders als von manchen befürchtet, ist allerdings keine gravierende Lücke wie Heartbleed dabei.

Artikel veröffentlicht am , Hanno Böck
Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes
(Bild: OpenSSL)

Vor zwei Tagen hat eine Ankündigung von OpenSSL viele in Aufregung versetzt. Darin kündigten die Entwickler an, am heutigen Donnerstag neue Versionen zu veröffentlichen, die mehrere Sicherheitslücken beheben. Eine der Lücken sei als hoch riskant einzustufen. Allerdings schickte OpenSSL-Entwickler Mark J. Cox auf Twitter gleich eine Entwarnung hinterher: Die Sicherheitslücke mit hohem Schweregrad betrifft nur den jüngsten Versionszweig 1.0.2 - und der wird bislang nur wenig eingesetzt.

Server zum Absturz bringen

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach, Nürnberg

Heute wurden nun Details zu den Lücken veröffentlicht. Die Lücke in Version 1.0.2 ist nicht mit früheren schweren OpenSSL-Lücken wie Heartbleed oder der CCS-Injection-Lücke vergleichbar. Es handelt sich lediglich um einen Denial-of-Service-Angriff. Ein Client kann durch eine ungültige Angabe beim Signaturalgorithmus die Auflösung eines Null-Pointers auf dem Server auslösen. Serverapplikationen können dadurch zum Absturz gebracht werden. Die Lücke hat die ID CVE-2015-0291 erhalten.

Eine ältere Lücke, die bereits im Januar behoben wurde, hat eine neue Einstufung erhalten. Es handelt sich um das Problem, das letztendlich der FREAK-Attacke zugrunde lag und mit der ID CVE-2015-0204 geführt wird. Ursprünglich hatten die OpenSSL-Entwickler diese Lücke nur als mittelschwer bezeichnet, im neuen Advisory wird sie als hoch riskant eingestuft.

Fehler bei PSS-Signaturverarbeitung und im ASN.1-Parser

Verschiedene weitere Lücken sind geeignet, Client-Applikationen zum Absturz zu bringen, etwa Fehler bei der Verarbeitung von Parametern bei RSA-PSS-Signaturen und Fehler beim Decodieren von ASN.1-Strukturen. Auch in selten genutzten Features wie DTLS und SSLv2 wurden Fehler gefunden. Insgesamt erwähnt das Advisory 14 Sicherheitslücken.

Für etwas Unmut hat gesorgt, dass das OpenSSL-Team die neuen Versionen zwar vorab angekündigt hatte, der genaue Zeitpunkt der Veröffentlichung allerdings nicht bekanntgegeben wurde. Lediglich ein vierstündiges Zeitfenster war vorab bekannt.

Neue Versionen verfügbar

Für alle unterstützten Versionszweige von OpenSSL wurden neue Versionen veröffentlicht. 1.0.2a, 1.0.1m, 1.0.0r und 0.9.8zf beheben alle bekannten Sicherheitsprobleme und stehen ab sofort auf der OpenSSL-Webseite zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 149,90€
  2. 649,00€ (Bestpreis!)
  3. (aktuell u. a. Intenso Top SSD 256 GB für 27,99€, Emtec X250 SSD Power Plus 512 GB für 59,90€)
  4. 24,95€

Proctrap 21. Mär 2015

Yep, Debian ist nicht besonders schnell im integrieren von neuem, auf einem aktuellen...

bstea 20. Mär 2015

Naja die API ist unterschiedlich. Und anstatt ein Großreinemachen zu erzwingen wird die...

RipClaw 19. Mär 2015

<> Ich weiß nicht ob auf der Mailingliste solche Vorankündigungen normal sind aber z.B...


Folgen Sie uns
       


Apples Airpods 2 und Samsungs Galaxy Buds im Test

Wir haben die neuen Airpods von Apple mit den Galaxy Buds von Samsung verglichen. Beim Klang schneiden die Airpods 2 wieder sehr gut ab. Es bleibt der Nachteil, dass Android-Nutzer die Airpods nur eingeschränkt nutzen können. Umgekehrt können iPhone-Nutzer die Galaxy Buds nur mit Beschränkungen verwenden. Die Galaxy Buds haben eine ungewöhnlich lange Akkulaufzeit.

Apples Airpods 2 und Samsungs Galaxy Buds im Test Video aufrufen
Mr. Robot rezensiert: Domo Arigato, Mr. Robot!
Mr. Robot rezensiert
Domo Arigato, Mr. Robot!

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel

  1. Openideo-Wettbewerb Die fünf besten Hacker-Symbolbilder sind ausgewählt
  2. Cyberangriffe Attribution ist wie ein Indizienprozess
  3. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Charachorder Schneller tippen als die Tastatur erlaubt
  2. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad
  3. Apex Pro im Test Tastatur für glückliche Gamer und Vielschreiber

Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

    •  /