Abo
  • Services:
Anzeige
Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes
(Bild: OpenSSL)

Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes

Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes
(Bild: OpenSSL)

Die Entwickler von OpenSSL haben ein Update veröffentlicht, das zahlreiche Sicherheitslücken behebt. Anders als von manchen befürchtet, ist allerdings keine gravierende Lücke wie Heartbleed dabei.

Anzeige

Vor zwei Tagen hat eine Ankündigung von OpenSSL viele in Aufregung versetzt. Darin kündigten die Entwickler an, am heutigen Donnerstag neue Versionen zu veröffentlichen, die mehrere Sicherheitslücken beheben. Eine der Lücken sei als hoch riskant einzustufen. Allerdings schickte OpenSSL-Entwickler Mark J. Cox auf Twitter gleich eine Entwarnung hinterher: Die Sicherheitslücke mit hohem Schweregrad betrifft nur den jüngsten Versionszweig 1.0.2 - und der wird bislang nur wenig eingesetzt.

Server zum Absturz bringen

Heute wurden nun Details zu den Lücken veröffentlicht. Die Lücke in Version 1.0.2 ist nicht mit früheren schweren OpenSSL-Lücken wie Heartbleed oder der CCS-Injection-Lücke vergleichbar. Es handelt sich lediglich um einen Denial-of-Service-Angriff. Ein Client kann durch eine ungültige Angabe beim Signaturalgorithmus die Auflösung eines Null-Pointers auf dem Server auslösen. Serverapplikationen können dadurch zum Absturz gebracht werden. Die Lücke hat die ID CVE-2015-0291 erhalten.

Eine ältere Lücke, die bereits im Januar behoben wurde, hat eine neue Einstufung erhalten. Es handelt sich um das Problem, das letztendlich der FREAK-Attacke zugrunde lag und mit der ID CVE-2015-0204 geführt wird. Ursprünglich hatten die OpenSSL-Entwickler diese Lücke nur als mittelschwer bezeichnet, im neuen Advisory wird sie als hoch riskant eingestuft.

Fehler bei PSS-Signaturverarbeitung und im ASN.1-Parser

Verschiedene weitere Lücken sind geeignet, Client-Applikationen zum Absturz zu bringen, etwa Fehler bei der Verarbeitung von Parametern bei RSA-PSS-Signaturen und Fehler beim Decodieren von ASN.1-Strukturen. Auch in selten genutzten Features wie DTLS und SSLv2 wurden Fehler gefunden. Insgesamt erwähnt das Advisory 14 Sicherheitslücken.

Für etwas Unmut hat gesorgt, dass das OpenSSL-Team die neuen Versionen zwar vorab angekündigt hatte, der genaue Zeitpunkt der Veröffentlichung allerdings nicht bekanntgegeben wurde. Lediglich ein vierstündiges Zeitfenster war vorab bekannt.

Neue Versionen verfügbar

Für alle unterstützten Versionszweige von OpenSSL wurden neue Versionen veröffentlicht. 1.0.2a, 1.0.1m, 1.0.0r und 0.9.8zf beheben alle bekannten Sicherheitsprobleme und stehen ab sofort auf der OpenSSL-Webseite zum Download bereit.


eye home zur Startseite
Proctrap 21. Mär 2015

Yep, Debian ist nicht besonders schnell im integrieren von neuem, auf einem aktuellen...

bstea 20. Mär 2015

Naja die API ist unterschiedlich. Und anstatt ein Großreinemachen zu erzwingen wird die...

RipClaw 19. Mär 2015

<> Ich weiß nicht ob auf der Mailingliste solche Vorankündigungen normal sind aber z.B...



Anzeige

Stellenmarkt
  1. Mediengruppe Pressedruck Dienstleistungs-GmbH & Co. OHG, Augsburg
  2. Daimler AG, Sindelfingen
  3. Robert Bosch GmbH, Leonberg
  4. über Harvey Nash GmbH, Hamburg, Aschaffenburg, Wiesbaden


Anzeige
Hardware-Angebote
  1. auf Kameras und Objektive
  2. (reduzierte Überstände, Restposten & Co.)
  3. 18,99€ statt 39,99€

Folgen Sie uns
       


  1. Quartalsbericht

    Facebooks Belegschaft wurde fast verdoppelt

  2. GigaKombi

    Vodafone verbessert Datenpaket für Warten aufs Festnetz

  3. Datenrate

    O2 drosselt mobiles Internet wegen EU-Roamings

  4. Netgear Nighthawk X6S

    Triband-Router kann mit Sprache gesteuert werden

  5. Spark

    DJI-Minicopter stürzt ab

  6. Nachfolger Watchbox

    RTL beendet Streamingportal Clipfish

  7. Chipmaschinenausrüster

    ASML demonstriert 250-Watt-EUV-System

  8. Linux-Distribution

    Opensuse Leap 42.3 baut Langzeitpflege aus

  9. Soziales Netzwerk

    Facebook soll an Smart-Speaker mit Display arbeiten

  10. Kumu Networks

    Vollduplex-WLAN auf gleicher Frequenz soll noch 2018 kommen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF Netzwerker wollen Quic-Pakete tracken
  2. IETF DNS wird sicher, aber erst später
  3. IETF Wie TLS abgehört werden könnte

Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  3. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  2. Asus Das Zenbook Flip S ist 10,9 mm flach
  3. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C

  1. Artikel wirr?

    johnripper | 22:32

  2. Re: Wechselt halt

    piratentölpel | 22:30

  3. Re: 300 US-Dollar...

    forenuser | 22:28

  4. Re: Nicht nachvollziehbar

    stiGGG | 22:28

  5. Re: Slightly off topic - welche App

    hle.ogr | 22:27


  1. 22:41

  2. 19:35

  3. 17:26

  4. 16:53

  5. 16:22

  6. 14:53

  7. 14:15

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel