Original-URL des Artikels: https://www.golem.de/0911/70995.html    Veröffentlicht: 05.11.2009 14:55    Kurz-URL: https://glm.io/70995

Sicherheitsloch im SSL-Protokoll

Fehler bei der Neuaushandlung von TLS-Parametern

In den Protokollen SSL und TLS wurde ein Sicherheitsloch gefunden, das für Man-in-the-Middle-Attacken ausgenutzt werden kann. In verschlüsselte Verbindungen können Angreifer somit eigene Inhalte einschleusen.

Das Sicherheitsleck tritt bei der erneuten Aushandlung der Parameter für eine bestehende TLS-Verbindung auf, berichtet Marsh Ray von Phonefactor. Der Fehler wurde bereits Anfang August 2009 gefunden, aber Ray wollte weitere Untersuchungen zu der Sicherheitslücke vornehmen. Die Ergebnisse dieser Arbeit stellt Ray in einem Zip-Archiv zur Verfügung.

Das SSL-Protokoll wird bei HTTPS-Verbindungen sowie beim Zugriff auf E-Mail-Postfächer via IMAP oder POP3 verwendet. Ein Angreifer könnte bei einem Angriff per Webbrowser eine HTTPS-Verbindung abfangen und dem Client dann eine vermeintlich vertrauensvolle Quelle vorgaukeln. Damit könnten vertrauliche Daten in fremde Hände gelangen.

Für OpenSSL hat Ben Laurie bereits einen Patch veröffentlicht, der allerdings den Fehler nicht direkt beseitigt. Stattdessen wird die Neuaushandlung der TLS-Parameter verhindert.  (ip)


Verwandte Artikel:
Service Pack 1 für Internet Explorer 6 macht Patch unwirksam   
(13.11.2003, https://glm.io/28481 )
Cisco: Kritische Lücke im VPN ermöglicht DoS-Angriffe auf Switches   
(30.01.2018, https://glm.io/132470 )
Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel   
(01.03.2018, https://glm.io/133077 )
ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer noch   
(12.12.2017, https://glm.io/131607 )
Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden   
(08.12.2017, https://glm.io/131542 )

© 1997–2019 Golem.de, https://www.golem.de/