Das OpenSSL-Projekt hat ein Update veröffentlicht, das acht Sicherheitslücken in der gleichnamigen Verschlüsselungssoftware schließen soll. Zwei Anfälligkeiten können einem Advisory zufolge Denial-of-Service-Angriffe erlauben. Im Gegensatz zur im vergangenen Jahr entdeckten Heartbleed-Lücke stuft OpenSSL das von den neuen Schwachstellen ausgehende Risiko lediglich als „mittel“ beziehungsweise „gering“ ein.
Trotz sollten Systemadministratoren ihre OpenSSL-Server-Instanzen in den kommenden Tagen aktualisieren, rät Tod Beardsley, Engineering Manager bei der Sicherheitsfirma Rapid7, in einer E-Mail an Computerworld. Die Sicherheitslecks seien in OpenSSL 1.0.1k, 1.0.0p und 0.9.8zd gestopft worden. „Um einen zuverlässigen Service aufrechtzuerhalten, sollte OpenSSL aktualisiert oder durch nicht betroffene SSL-Bibliotheken wie LibreSSL ersetzt werden.“
Die beiden DoS-Lücken mit den Kennungen CVE-2014-3571 und CVE-2015-0206 stecken dem Bericht zufolge nur in der OpenSSL-Implementierung des Protokolls Datagram Transport Layer Security (DTLS), das weniger weit verbreitet sei als Transport Layer Security (TLS). DTLS ermögliche eine verschlüsselte Kommunikation über Datagram-Protokolle wie UDP und werde vor allem für virtuelle private Netzwerke (VPN) und das Echtzeit-Kommunikationsprotokoll WebRTC verwendet.
Die anderen Patches betreffen TLS und können zu unerwartetem Verhalten führen, wenn beispielsweise OpenSSL mit der Option „no-ssl3“ verwendet wird. Ein anderer Fehler wiederum entfernt die Sicherheitstechnik Forward Secrecy. Das Update soll zudem verhindern, dass OpenSSL einen schwachen vorläufigen RSA-Schlüssel akzeptiert oder ein DH-Zertifikat verarbeitet, ohne dass es überprüft wurde, was eine Authentifizierung ohne privaten Schlüssel erlaubt.
Darüber hinaus weist das OpenSSL-Projekt darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum Jahresende eingestellt wird. „Danach erhalten diese Versionen keine Sicherheitsupdates mehr“, heißt es weiter in dem Advisory.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
