Zum Hauptinhalt Zur Navigation Zur Suche

OpenSSL

OpenSSL ist eine freie Implementierung der Protokolle SSL und TLS und die erste Open-Source-Software zur Verschlüsselung, die das FIPS-Zertifikat erhalten hat.

Die Golem Newsletter : Das Wichtigste für Techies und IT-Leader auf einen Blick. Jetzt abonnieren
Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten. (Bild: Mr.checker/Wikimedia Commons) (Mr.checker/Wikimedia Commons)

TLS: Immer wieder Padding Oracles

In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.
/ Kommentare
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei. (Bild: Kjetil Ree, Wikimedia Commons) (Kjetil Ree, Wikimedia Commons)

Verschlüsselung: TLS 1.3 mit Startschwierigkeiten

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.
/ 17 Kommentare
Die C-Bibliothek des GNU-Projekts kann zuverlässige Zufallszahlen erzeugen. (Bild: Yoni Lerner, flickr.com) (Yoni Lerner, flickr.com)

Getrandom: Glibc 2.25 bekommt endlich besseren Zufall

Die Standard-C-Bibliothek des GNU-Projekts hat endlich Wrapper für die Linux-Systemaufrufe Getrandom und Getentropy - mehr als zwei Jahre nach deren Einführung. Neu sind außerdem Funktionen für Strings, Mathe-Operationen und ein starker Schutz vor Stack-Überläufen.
/ 7 Kommentare
SSH-Keys in Github - eigentlich eine sinnvolle Sache, aber die Keys sollten auch sicher sein. (Bild: Screenshot) (Screenshot)

SSH: Sechs Jahre alter Bug bedroht Github-Repositories

Ein Debian-Bug aus dem Jahr 2008 hinterlässt immer noch Spuren. Eine Analyse der öffentlichen SSH-Schlüssel bei Github zeigt: Mittels angreifbarer Schlüssel hätten Angreifer die Repositories von Projekten wie Python und Firmen wie Spotify oder Yandex manipulieren können.
/ 9 Kommentare
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten. (Bild: Screenshot) (Screenshot)

HTTPS: Kaspersky ermöglicht Freak-Angriff

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.
/ 28 Kommentare
American Fuzzy Lop kann Bugs wie Heartbleed finden. (Bild: Screenshot) (Screenshot)

Fuzzing: Wie man Heartbleed hätte finden können

Update Vor einem Jahr machte der Heartbleed-Bug in OpenSSL Schlagzeilen - doch solche Bugs lassen sich mit Hilfe von Fuzzing-Technologien aufspüren. Wir haben das mit den Tools American Fuzzy Lop und Address Sanitizer nachvollzogen und den Heartbleed-Bug neu entdeckt.
/ 84 Kommentare / Von Hanno Böck