Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes

Die Entwickler von OpenSSL haben ein Update veröffentlicht, das zahlreiche Sicherheitslücken behebt. Anders als von manchen befürchtet, ist allerdings keine gravierende Lücke wie Heartbleed dabei.

Artikel veröffentlicht am , Hanno Böck
Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes
(Bild: OpenSSL)

Vor zwei Tagen hat eine Ankündigung von OpenSSL viele in Aufregung versetzt. Darin kündigten die Entwickler an, am heutigen Donnerstag neue Versionen zu veröffentlichen, die mehrere Sicherheitslücken beheben. Eine der Lücken sei als hoch riskant einzustufen. Allerdings schickte OpenSSL-Entwickler Mark J. Cox auf Twitter gleich eine Entwarnung hinterher: Die Sicherheitslücke mit hohem Schweregrad betrifft nur den jüngsten Versionszweig 1.0.2 - und der wird bislang nur wenig eingesetzt.

Server zum Absturz bringen

Stellenmarkt
  1. IT-Anwender- und Standort Support (m/w/d)
    Radeberger Gruppe KG, Radeberg
  2. IT Specialist Server und Virtualisierung (m/w/d)
    Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
Detailsuche

Heute wurden nun Details zu den Lücken veröffentlicht. Die Lücke in Version 1.0.2 ist nicht mit früheren schweren OpenSSL-Lücken wie Heartbleed oder der CCS-Injection-Lücke vergleichbar. Es handelt sich lediglich um einen Denial-of-Service-Angriff. Ein Client kann durch eine ungültige Angabe beim Signaturalgorithmus die Auflösung eines Null-Pointers auf dem Server auslösen. Serverapplikationen können dadurch zum Absturz gebracht werden. Die Lücke hat die ID CVE-2015-0291 erhalten.

Eine ältere Lücke, die bereits im Januar behoben wurde, hat eine neue Einstufung erhalten. Es handelt sich um das Problem, das letztendlich der FREAK-Attacke zugrunde lag und mit der ID CVE-2015-0204 geführt wird. Ursprünglich hatten die OpenSSL-Entwickler diese Lücke nur als mittelschwer bezeichnet, im neuen Advisory wird sie als hoch riskant eingestuft.

Fehler bei PSS-Signaturverarbeitung und im ASN.1-Parser

Verschiedene weitere Lücken sind geeignet, Client-Applikationen zum Absturz zu bringen, etwa Fehler bei der Verarbeitung von Parametern bei RSA-PSS-Signaturen und Fehler beim Decodieren von ASN.1-Strukturen. Auch in selten genutzten Features wie DTLS und SSLv2 wurden Fehler gefunden. Insgesamt erwähnt das Advisory 14 Sicherheitslücken.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Für etwas Unmut hat gesorgt, dass das OpenSSL-Team die neuen Versionen zwar vorab angekündigt hatte, der genaue Zeitpunkt der Veröffentlichung allerdings nicht bekanntgegeben wurde. Lediglich ein vierstündiges Zeitfenster war vorab bekannt.

Neue Versionen verfügbar

Für alle unterstützten Versionszweige von OpenSSL wurden neue Versionen veröffentlicht. 1.0.2a, 1.0.1m, 1.0.0r und 0.9.8zf beheben alle bekannten Sicherheitsprobleme und stehen ab sofort auf der OpenSSL-Webseite zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Viele Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

  2. Fernseher zum Bestpreis beim Amazon Prime Day
     
    Fernseher zum Bestpreis beim Amazon Prime Day

    Neben vielen anderen interessanten Produkten gibt es viele hochqualitative Fernseher zu niedrigen Preisen.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Elektroautos: Neue Ladekarten sollen Schwarzladen verhindern
    Elektroautos
    Neue Ladekarten sollen Schwarzladen verhindern

    Das einfache Klonen von Ladekarten soll künftig nicht mehr möglich sein. Doch dazu müssen alle im Umlauf befindlichen Karten ausgetauscht werden.

Proctrap 21. Mär 2015

Yep, Debian ist nicht besonders schnell im integrieren von neuem, auf einem aktuellen...

bstea 20. Mär 2015

Naja die API ist unterschiedlich. Und anstatt ein Großreinemachen zu erzwingen wird die...

RipClaw 19. Mär 2015

<> Ich weiß nicht ob auf der Mailingliste solche Vorankündigungen normal sind aber z.B...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Samsung 980 Pro 1TB PCIe 4.0 140,19€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit DDR4-4000 269,79€ • 30% auf Warehouse • Primetime bei Saturn (u. a. Switch Lite 166,24€) • Gaming-Chairs • MM Gönn dir Dienstag [Werbung]
    •  /