OpenSSL

E-Learning: Linux Administration: Skripte, Container und Automatisierung (E-Learning)

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Systemadministrator*in (m/w/d) Max-Planck-Institut für Bildungsforschung, Berlin (öffnet im neuen Fenster)

Prozessmanager - Service (w/m/d) SEW-EURODRIVE GmbH & Co KG, Bruchsal (öffnet im neuen Fenster)

Bucher mit SAP-Kenntnissen (m/w/d) - München Müller - Die lila Logistik Service GmbH, München (öffnet im neuen Fenster)

Fachinformatiker (m/w/d) als Softwaretester Thüringer Staatslotterie AöR, Suhl (öffnet im neuen Fenster)

IT-Systemadministrator*in (w/m/d) Landeshauptstadt München, Eching (öffnet im neuen Fenster)

SAP MM Consultant mit Fokus Einkauf (m/w/d) KHS GmbH, Dortmund (öffnet im neuen Fenster)

Fachinformatiker (m/w/d) als Softwaretester Thüringer Staatslotterie AöR, Suhl (öffnet im neuen Fenster)

Teamleiter Programmierung DESIGO (m/w/d) HERMES Systeme GmbH MSR & Automatisierungstechnik, Wildeshausen (öffnet im neuen Fenster)

Wer OpenSSL 3.0 nutzt sollte schnell updaten: Zwei Buffer Overflows ermöglichen Angriffe. (Bild: Garretttaggs/Wikimedia Commons) (Garretttaggs/Wikimedia Commons)

Sicherheitslücken: OpenSSL korrigiert Fehler im Zertifikatsparser

Zwei Buffer Overflows bei der Verarbeitung von Punycode können OpenSSL zum Absturz bringen - und möglicherweise Codeausführung ermöglichen.

Kommentare

OpenSSL 3.0 enthält eine kritische Sicherheitslücke und bekommt einen Patch. (Bild: Pixabay) (Pixabay)

TLS-Bibliothek: OpenSSL-Update wegen erster kritischen Lücke seit 2016

Das OpenSSL-Entwicklungsteam hat für heute Nachmittag das Update für eine kritische Lücke angekündigt. Betroffen sind alle Versionen von OpenSSL 3.0.

27 Kommentare

OpenSSL, Log4J,: Googles Domain-Registrierung in Deutschland verfügbar

Kurznews Was am 16. März 2022 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

1 Kommentare

Neue Lizenz und Aufräumarbeiten in der API: OpenSSL veröffentlicht Version 3.0.0. (Bild: Petr Smerkl/Wikimedia Commons) (Petr Smerkl/Wikimedia Commons)

TLS: Neue OpenSSL-Version unter Apache-Lizenz

Das OpenSSL-Team veröffentlicht Version 3.0.0. Neben einem Lizenzwechsel kommt es zum Wegfall vieler veralteter Funktionen.

2 Kommentare

Qnaps NAS-Systeme sind noch von der OpenSSL-Lücke betroffen. (Bild: Oliver Nickel/Golem.de) (Oliver Nickel/Golem.de)

NAS und Sicherheit: Qnap und Synology von OpenSSL-Lücke betroffen

Produkte beider NAS-Hersteller sind von einer bereits geschlossenen OpenSSL-Lücke betroffen. Sie arbeiten an einem Fix.

6 Kommentare

OpenSSL und ein Zaun - bei beiden sind Lücken gar nicht gut. (Bild: Steffen Voß via flickr) (Steffen Voß via flickr)

Security: OpenSSL-Update schließt Sicherheitslücken

OpenSSL 1.1.1l schließt zwei Sicherheitslücken, darunter einen mit einer hohen Risikobewertung eingeschätzten Buffer Overflow.

1 Kommentare

Seminar: ISO 27001 Foundation mit Zertifikat: virtueller Zwei-Tage-Workshop

Seminar: Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop

Seminar: KI AI Act Training für Anwender mit Zertifikat: virtueller Ein-Tages-Workshop

Seminar: ISO 42001 Foundation KI-Beauftragter mit Zertifikat: virtueller Zwei-Tage-Workshop

OpenSSL patzt bei der Prüfung von Zertifikatssignaturen, aber der Fehler betrifft die meisten Anwendungen nicht. (Bild: DKrue, Pixabay) (DKrue, Pixabay)

Kryptobibliothek: OpenSSL-Lücke in Zertifikatschecks

Ein Fehler von OpenSSL bei der Zertifikatsvalidierung betrifft nur wenige Anwendungen, ein weiterer Bug lässt Server abstürzen.

Ob die Änderungen in den Linux-Kernel aufgenommen werden, ist noch nicht abzusehen. (Bild: Se Mo/Flickr.com) (Se Mo/Flickr.com)

Black Lives Matter: Linux-Kernel könnte "inklusive Sprache" bekommen

Update Die Linux-Community diskutiert über einen Leitfaden zur Vermeidung von Worten wie Slave oder Blacklist. OpenSSL hat sich dagegen entschieden.

166 Kommentare

Am 30. Mai ist ein 20 Jahre altes Root-Zertifikat abgelaufen. (Bild: Dafne Cholet / Flickr / Wikimedia Commons) (Dafne Cholet / Flickr / Wikimedia Commons)

Sectigo: Abgelaufenes Root-Zertifikat entfacht Ärger

Viele ältere TLS-Clients kommen mit einem abgelaufenen Rootzertifikat namens Addtrust nicht klar.

14 Kommentare / Von Hanno Böck

Ein neues GCC-Feature findet Bugs beim Kompilieren. (Bild: Bj.schoenmakers/Wikimedia Commons) (Bj.schoenmakers/Wikimedia Commons)

Null-Pointer: Statisches Codeanalysewerkzeug von GCC findet OpenSSL-Bug

Ein Bug in OpenSSL kann Server und Clients zum Absturz bringen.

8 Kommentare

Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten. (Bild: Mr.checker/Wikimedia Commons) (Mr.checker/Wikimedia Commons)

TLS: Immer wieder Padding Oracles

In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.

Kommentare

Alpine Linux setzt künftig wieder auf OpenSSL. (Bild: Christopher Michel, flickr.com) (Christopher Michel, flickr.com)

Linux: Container-Distro Alpine wechselt von Libre- zu OpenSSL

Nach etwas mehr als zwei Jahren Einsatz kehrt Alpine Linux von LibreSSL zurück zu OpenSSL, um die Pflege zu vereinfachen. Hinzu kommen ein neuer Kernel und die Unterstützung für ARMv7.

Kommentare

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Um die Sicherheit von OpenSSL scheint es gut bestellt. (Bild: Suzy Hazelwood) (Suzy Hazelwood)

Verschlüsselung: Open SSL 1.1.1 überzeugt im Sicherheitsaudit

Die Initiativen Ostif und Quarkslab haben OpenSSL 1.1.1 einem Audit unterzogen. Den Fokus legten die Sicherheitsforscher auf die neuen TLS-1.3-Funktionen und die Änderungen am Pseudo Random Number Generator (PRNG).

6 Kommentare

Ubuntu 18.04, alias Bionic Beaver, bekommt ein OpenSSL-Upgrade. (Bild: NPS / Neal Herbert) (NPS / Neal Herbert)

Bionic Beaver: Ubuntu 18.04 bekommt OpenSSL 1.1.1 und TLS 1.3 als Update

Die aktuelle Ubuntu-Version 18.04 mit Langzeitsupport bekommt demnächst die aktuelle OpenSSL-Version 1.1.1 und damit Langzeitsupport der Hauptentwickler für die wichtige Krypto-Bibliothek. Damit kann auch TLS 1.3 genutzt werden. Pakete wie Apache sollen ebenfalls angepasst werden.

7 Kommentare

Hyperthreading wurde mit dem Pentium 4 eingeführt. Damit zusammenhängende Sicherheitsprobleme sind schon seit 2005 bekannt. (Bild: Raimond Spekking, Wikimedia Commons) (Raimond Spekking, Wikimedia Commons)

Portsmash: Exploit für 13 Jahre alte Hyperthreading-Lücke

Ein Forscherteam zeigt, wie es mittels Seitenkanal-Angriffen private Schlüssel von OpenSSL stehlen kann. Der dahinter liegende Bug ist aber nicht neu und das Problem liegt auch im OpenSSL-Code.

5 Kommentare

Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei. (Bild: Kjetil Ree, Wikimedia Commons) (Kjetil Ree, Wikimedia Commons)

Verschlüsselung: TLS 1.3 mit Startschwierigkeiten

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.

17 Kommentare

Telegram bringt eine Art digitalen Ausweis. (Bild: Telegram) (Telegram)

Telegram 4.90: Neue Passport-Funktion soll Luc Bessons Multi-Pass bringen

Telegram Passport ist eine Funktion, mit der Nutzer ihre Ausweisdaten in eine abgesicherte Cloud hochladen können. Drittanbieter können damit das Alter und die Identität prüfen, und Nutzer müssen nicht jedes Mal ihre Daten hochladen. Ein paar offene Fragen zur Sicherheit gibt es noch.

16 Kommentare

An einigen Stellen findet man immer noch alte kryptographische Schlüssel, die sich dank eines zehn Jahre alten Debian-Bugs knacken lassen. (Bild: Bubo/Wikimedia Commons) (Bubo/Wikimedia Commons)

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.

9 Kommentare / Von Hanno Böck

OpenSSL nutzt künftig verstärkt Github. (Bild: OpenSSL) (OpenSSL)

Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter

Um Admins ein stressiges Wochenende zu ersparen, werden OpenSSL-Updates künftig dienstags veröffentlicht. Außerdem gibt es nun eine Mailingliste, auf der Projektdetails unabhängig vom Code öffentlich diskutiert werden, und Github wird für das Projekt wichtiger.

5 Kommentare

Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen. (Bild: EFF) (EFF)

Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

11 Kommentare

Der Lizenzwechsel von OpenSSL hat erwartbare Konsequenzen. (Bild: OpenSSL) (OpenSSL)

Apache-Lizenz 2.0: OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

Der geplante Lizenzwechsel von OpenSSL kommt langsam voran. Das Projekt kündigt auch erste Konsequenzen für Code an, dessen Urheber dem Wechsel nicht zustimmen. Der Code wird entfernt und künftig reimplementiert.

11 Kommentare

Symantec fiel auf einen falschen privaten Schlüssel herein. (Bild: Hanno Böck) (Hanno Böck)

TLS-Zertifikate: Symantec fällt auf falschen Key herein

Wenn ein privater Schlüssel von einem Webseitenzertifikat offen im Netz landet, sollten Zertifizierungsstellen das entsprechende Zertifikat zurückziehen. Symantec tat dies nun auch bei einem privaten Schlüssel, der überhaupt nicht echt war.

25 Kommentare

Nginx unterstützt jetzt auch das neue Protokoll TLS 1.3. (Bild: Nginx) (Nginx)

Webserver: Nginx 1.13 erscheint mit TLS-1.3-Support

Der freie Webserver Nginx ist in der Version 1.13 erschienen. Er bringt unter anderem Unterstützung für TLS 1.3 mit, das aktuelle Browser zwar unterstützen, OpenSSL allerdings noch nicht offiziell.

Der Lizenzwechsel von OpenSSL ist wohl schon beschlossen. (Bild: OpenSSL) (OpenSSL)

Apache-Lizenz 2.0: OpenSSL plant Lizenzwechsel an der Community vorbei

Ohne große vorherige öffentliche Diskussion soll OpenSSL künftig die Apache-Lizenz 2.0 nutzen. Vor allem die OpenBSD-Community kritisiert die Lizenz und das konkrete Vorgehen, das die Community spaltet und den Eindruck erweckt, als sei alles schon beschlossen.

29 Kommentare

Die C-Bibliothek des GNU-Projekts kann zuverlässige Zufallszahlen erzeugen. (Bild: Yoni Lerner, flickr.com) (Yoni Lerner, flickr.com)

Getrandom: Glibc 2.25 bekommt endlich besseren Zufall

Die Standard-C-Bibliothek des GNU-Projekts hat endlich Wrapper für die Linux-Systemaufrufe Getrandom und Getentropy - mehr als zwei Jahre nach deren Einführung. Neu sind außerdem Funktionen für Strings, Mathe-Operationen und ein starker Schutz vor Stack-Überläufen.

7 Kommentare

OpenSSL hat eine neue Version mit vielen Änderungen unter der Haube veröffentlicht. (Bild: OpenSSL-Webseite) (OpenSSL-Webseite)

Verschlüsselung: OpenSSL veröffentlicht Version 1.1.0

OpenSSL veröffentlicht die neue Version 1.1.0. Neu hinzugekommen sind die Algorithmen ChaCha20 und X25519 sowie Unterstützung für Certificate Transparency. Vor allem aber ist das Release eine große Aufräumaktion.

2 Kommentare

SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info) (sweet32.info)

SWEET32: Kurze Verschlüsselungsblöcke sorgen für Kollisionen

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

Ein Sicherheitsupdate für OpenSSL behebt eine kritische und mehrere unkritische Lücken. (Bild: OpenSSL) (OpenSSL)

OpenSSL-Update: Die Rückkehr des Padding-Orakels

Die jüngste Version von OpenSSL behebt eine kritische Sicherheitslücke: eine Neuauflage des sogenannten Padding-Oracle-Angriffs. Mehrere ältere Bugs ermöglichen außerdem zusammen eine Memory-Corrpution-Lücke.

Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen. (Bild: EFF) (EFF)

Security: Der Internetminister hat Heartbleed

Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur war für eine seit fast zwei Jahren geschlossene, kritische Sicherheitslücke anfällig. Das kompromittierte Zertifikat wird weiterhin verwendet.

24 Kommentare

Verräterische Zugriffsmuster im CPU-Cache erlauben das Knacken von RSA-Schlüsseln. (Bild: Cachebleed-Webseite) (Cachebleed-Webseite)

Cachebleed-Angriff: CPU-Cache kann private Schlüssel verraten

Forschern ist es gelungen, RSA-Verschlüsselungsoperationen von OpenSSL mittels eines Cache-Timing-Angriffs zu belauschen und so den privaten Key zu knacken. Der Cachebleed-Angriff nutzt dabei Zugriffskonflikte auf den Cache-Speicher.

1 Kommentare

Rund 85 Prozent der getesteten SSL-Server weisen unsichere Konfigurationen auf. (Bild: Hightech Bridge) (Hightech Bridge)

Security: 85 Prozent der SSL-VPNs haben unsichere Konfigurationen

Zahlreiche SSL-VPNs sichern den Traffic der Nutzer nur unzureichend ab - das behauptet eine Sicherheitsfirma. Viele Anbieter würden nach wie vor SHA-1 oder MD5 verwenden. Außerdem seien rund 10 Prozent der Dienste für Heartbleed anfällig.

Beim Schlüsselaustausch mit dem Diffie-Hellman-Verfahren wurde ein Problem in OpenSSL entdeckt. (Bild: PMRMaeyaert/Wikimedia Commons) (PMRMaeyaert/Wikimedia Commons)

OpenSSL-Lücke: Die Sache mit den sicheren Primzahlen

OpenSSL hat mit einem Sicherheitsupdate eine Sicherheitslücke im Diffie-Hellman-Schlüsselaustausch behoben, deren Risiko als "hoch" eingestuft wird. Allerdings dürfte kaum jemand von der Lücke praktisch betroffen sein.

12 Kommentare

In Scada-Systemen von Advantech-EKI wurden offenbar durch Updates neue Sicherheitslücken geöffnet. (Bild: Kele) (Kele)

Eki-Scada-Systeme: Heartbleed per Update nachgerüstet

Updates sollen Systeme sicherer machen - im Falle der Scada-Systeme der Firma EKI ist das jedoch offenbar gründlich misslungen. Ein Update, das fest codierte SSH-Schlüssel entfernen sollte, macht die Systeme für Shellshock und Heartbleed verwundbar.

Beim Schlüsselaustausch mit dem statischen Diffie-Hellman-Verfahren kann manches schiefgehen. (Bild: Nopetro~commonswiki/Wikimedia-Commons/CC by-sa 3.0) (Nopetro~commonswiki/Wikimedia-Commons/CC by-sa 3.0)

Schlüsselaustausch: KCI-Angriff auf TLS missbraucht Clientzertifikate

Ein komplexer Angriff nutzt eine trickreiche Kombination aus Clientzertifikaten und einem statischen Diffie-Hellman-Schlüsselaustausch. Der Angriff ist nur in sehr speziellen Situationen relevant, doch es zeigt sich wieder einmal, dass das TLS-Protokoll selbst Sicherheitslücken hat.

Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Kryptographie: Rechenfehler mit großen Zahlen

Black Hat 2015 Kryptographische Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. Immer wieder werden Fehler in den entsprechenden Bibliotheken gefunden. Diese können zu Sicherheitslücken werden.

24 Kommentare

Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia) (Togaboy, Wikipedia)

Sicherheitslücke: OpenSSL akzeptiert falsche Zertifikate

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

5 Kommentare

Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update (Bild: martinak15 / Wikimedia Commons / CC by 2.0) (martinak15 / Wikimedia Commons / CC by 2.0)

Sicherheitslücken: OpenSSL-Update verursacht ABI-Probleme

Update OpenSSL veröffentlicht Updates für kleinere Sicherheitslücken - dabei ist den Entwicklern ein Fehler unterlaufen: Durch eine veränderte Datenstruktur ändert sich die Binärschnittstelle der Bibliothek, was zu Fehlfunktionen führen kann.

20 Kommentare

SSH-Keys in Github - eigentlich eine sinnvolle Sache, aber die Keys sollten auch sicher sein. (Bild: Screenshot) (Screenshot)

SSH: Sechs Jahre alter Bug bedroht Github-Repositories

Ein Debian-Bug aus dem Jahr 2008 hinterlässt immer noch Spuren. Eine Analyse der öffentlichen SSH-Schlüssel bei Github zeigt: Mittels angreifbarer Schlüssel hätten Angreifer die Repositories von Projekten wie Python und Firmen wie Spotify oder Yandex manipulieren können.

9 Kommentare

"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten. (Bild: Screenshot) (Screenshot)

HTTPS: Kaspersky ermöglicht Freak-Angriff

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.

28 Kommentare

American Fuzzy Lop kann Bugs wie Heartbleed finden. (Bild: Screenshot) (Screenshot)

Fuzzing: Wie man Heartbleed hätte finden können

Update Vor einem Jahr machte der Heartbleed-Bug in OpenSSL Schlagzeilen - doch solche Bugs lassen sich mit Hilfe von Fuzzing-Technologien aufspüren. Wir haben das mit den Tools American Fuzzy Lop und Address Sanitizer nachvollzogen und den Heartbleed-Bug neu entdeckt.

84 Kommentare / Von Hanno Böck

Alte Crypto in OpenSSL auszumustern wird schwierig. (Bild: Openssl.org) (Openssl.org)

Linux-Distributionen: Unerwartete Schwierigkeiten beim Ausmustern alter Crypto

Unsichere und veraltete Verschlüsselungen aus einer Linux-Distribution zu entfernen, sei wesentlich schwieriger als gedacht, berichtet ein Intel-Entwickler. Sein Team will die Probleme mit OpenSSL und anderer Software aber beheben.

30 Kommentare

Die abgegriffenen Zugangsdaten aus einer Verbindung zwischen App und Server mit schwacher Verschlüsselung (Bild: Fireeye) (Fireeye)

Schwache Verschlüsselung: Tausende Apps könnten von Freak-Schwachstelle betroffen sein

Die durch den Freak-Angriff ausgelöste schwache Verschlüsselung macht auch viele Apps unsicher. Betroffen sind laut ersten Untersuchungen mehrere populäre Anwendungen für Android und iOS.

Verschlüsselung: OpenSSL veröffentlicht zahlreiche Sicherheitsfixes

Die Entwickler von OpenSSL haben ein Update veröffentlicht, das zahlreiche Sicherheitslücken behebt. Anders als von manchen befürchtet, ist allerdings keine gravierende Lücke wie Heartbleed dabei.

14 Kommentare

Smack heißt ein Forschungsprojekt, bei dem Probleme in TLS-Bibliotheken entdeckt wurden. (Bild: Smacktls.com) (Smacktls.com)

TLS-Schwachstelle: Freak-Workaround schaltet Windows Update ab

Microsofts Workaround für die Freak-Schwachstelle schaltet auf einigen Systemen Windows Update ab. Aber auch an anderer Stelle macht der Workaround Probleme.

TLS-Schwachstelle: Freak-Angriff auch unter Windows möglich

Sämtliche Windows-Versionen lassen sich über die jüngst bekanntgewordene Freak-Attacke angreifen. Das bestätigte Microsoft in einer Warnung. Unklar ist, wann die Lücke geschlossen wird.

10 Kommentare

Verschlüsselung: Uraltalgorithmen gefährden Millionen Webseiten

Bei Untersuchungen von TLS-Implementierungen ist eine gefährliche Sicherheitslücke entdeckt worden: Freak. In bestimmten Fällen lassen sich Verbindungen mit unsicheren 512-Bit-RSA_Schlüsseln erzwingen. Diese Cipher sind ein Relikt der Kryptoregulierung in den 90ern.

10 Kommentare

Derartige zyklische Matritzen sind die Grundlage für Ring Learning With Errors. (Bild: Douglas Stebila) (Douglas Stebila)

Ring Learning With Errors: Algorithmen für die Post-Quanten-Ära

RWC2015 Forscher haben das vor Quantencomputern sichere Key-Exchange-Verfahren Ring Learning With Errors präsentiert. Das lässt sich bereits experimentell in OpenSSL für TLS-Verbindungen einsetzen.