Abo
  • Services:

Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes

Die Entwickler von OpenSSL haben ein Update veröffentlicht, das zahlreiche Sicherheitslücken behebt. Anders als von manchen befürchtet, ist allerdings keine gravierende Lücke wie Heartbleed dabei.

Artikel veröffentlicht am , Hanno Böck
Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes
(Bild: OpenSSL)

Vor zwei Tagen hat eine Ankündigung von OpenSSL viele in Aufregung versetzt. Darin kündigten die Entwickler an, am heutigen Donnerstag neue Versionen zu veröffentlichen, die mehrere Sicherheitslücken beheben. Eine der Lücken sei als hoch riskant einzustufen. Allerdings schickte OpenSSL-Entwickler Mark J. Cox auf Twitter gleich eine Entwarnung hinterher: Die Sicherheitslücke mit hohem Schweregrad betrifft nur den jüngsten Versionszweig 1.0.2 - und der wird bislang nur wenig eingesetzt.

Server zum Absturz bringen

Stellenmarkt
  1. BüchnerBarella Holding GmbH & Co. KG, Gießen
  2. Kassenärztliche Bundesvereinigung, Berlin

Heute wurden nun Details zu den Lücken veröffentlicht. Die Lücke in Version 1.0.2 ist nicht mit früheren schweren OpenSSL-Lücken wie Heartbleed oder der CCS-Injection-Lücke vergleichbar. Es handelt sich lediglich um einen Denial-of-Service-Angriff. Ein Client kann durch eine ungültige Angabe beim Signaturalgorithmus die Auflösung eines Null-Pointers auf dem Server auslösen. Serverapplikationen können dadurch zum Absturz gebracht werden. Die Lücke hat die ID CVE-2015-0291 erhalten.

Eine ältere Lücke, die bereits im Januar behoben wurde, hat eine neue Einstufung erhalten. Es handelt sich um das Problem, das letztendlich der FREAK-Attacke zugrunde lag und mit der ID CVE-2015-0204 geführt wird. Ursprünglich hatten die OpenSSL-Entwickler diese Lücke nur als mittelschwer bezeichnet, im neuen Advisory wird sie als hoch riskant eingestuft.

Fehler bei PSS-Signaturverarbeitung und im ASN.1-Parser

Verschiedene weitere Lücken sind geeignet, Client-Applikationen zum Absturz zu bringen, etwa Fehler bei der Verarbeitung von Parametern bei RSA-PSS-Signaturen und Fehler beim Decodieren von ASN.1-Strukturen. Auch in selten genutzten Features wie DTLS und SSLv2 wurden Fehler gefunden. Insgesamt erwähnt das Advisory 14 Sicherheitslücken.

Für etwas Unmut hat gesorgt, dass das OpenSSL-Team die neuen Versionen zwar vorab angekündigt hatte, der genaue Zeitpunkt der Veröffentlichung allerdings nicht bekanntgegeben wurde. Lediglich ein vierstündiges Zeitfenster war vorab bekannt.

Neue Versionen verfügbar

Für alle unterstützten Versionszweige von OpenSSL wurden neue Versionen veröffentlicht. 1.0.2a, 1.0.1m, 1.0.0r und 0.9.8zf beheben alle bekannten Sicherheitsprobleme und stehen ab sofort auf der OpenSSL-Webseite zum Download bereit.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 169,90€ + Versand
  3. 94,90€ + Versand mit Gutschein QVO20
  4. (reduzierte Überstände, Restposten & Co.)

Proctrap 21. Mär 2015

Yep, Debian ist nicht besonders schnell im integrieren von neuem, auf einem aktuellen...

bstea 20. Mär 2015

Naja die API ist unterschiedlich. Und anstatt ein Großreinemachen zu erzwingen wird die...

RipClaw 19. Mär 2015

<> Ich weiß nicht ob auf der Mailingliste solche Vorankündigungen normal sind aber z.B...


Folgen Sie uns
       


Bionic Finwave - Bericht (Hannover Messe 2019)

Festo zeigte auf der Hannover Messe einen schwimmenden Roboter aus dem 3D-Drucker.

Bionic Finwave - Bericht (Hannover Messe 2019) Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
    Days Gone angespielt
    Zombies, Bikes und die Sache mit der Benzinpumpe

    Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
    Von Peter Steinlechner


      Falcon Heavy: Beim zweiten Mal wird alles besser
      Falcon Heavy
      Beim zweiten Mal wird alles besser

      Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
      Von Frank Wunderlich-Pfeiffer und dpa

      1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
      2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
      3. Raumfahrt SpaceX - Die Rückkehr des Drachen

        •  /