Das OpenSSL-Projekt hat ein Update veröffentlicht, das acht Sicherheitslücken in der gleichnamigen Verschlüsselungssoftware schließen soll. Zwei Anfälligkeiten können einem Advisory zufolge Denial-of-Service-Angriffe erlauben. Im Gegensatz zur im vergangenen Jahr entdeckten Heartbleed-Lücke stuft OpenSSL das von den neuen Schwachstellen ausgehende Risiko lediglich als „mittel“ beziehungsweise „gering“ ein.
Trotz sollten Systemadministratoren ihre OpenSSL-Server-Instanzen in den kommenden Tagen aktualisieren, rät Tod Beardsley, Engineering Manager bei der Sicherheitsfirma Rapid7, in einer E-Mail an Computerworld. Die Sicherheitslecks seien in OpenSSL 1.0.1k, 1.0.0p und 0.9.8zd gestopft worden. „Um einen zuverlässigen Service aufrechtzuerhalten, sollte OpenSSL aktualisiert oder durch nicht betroffene SSL-Bibliotheken wie LibreSSL ersetzt werden.“
Die beiden DoS-Lücken mit den Kennungen CVE-2014-3571 und CVE-2015-0206 stecken dem Bericht zufolge nur in der OpenSSL-Implementierung des Protokolls Datagram Transport Layer Security (DTLS), das weniger weit verbreitet sei als Transport Layer Security (TLS). DTLS ermögliche eine verschlüsselte Kommunikation über Datagram-Protokolle wie UDP und werde vor allem für virtuelle private Netzwerke (VPN) und das Echtzeit-Kommunikationsprotokoll WebRTC verwendet.
Die anderen Patches betreffen TLS und können zu unerwartetem Verhalten führen, wenn beispielsweise OpenSSL mit der Option „no-ssl3“ verwendet wird. Ein anderer Fehler wiederum entfernt die Sicherheitstechnik Forward Secrecy. Das Update soll zudem verhindern, dass OpenSSL einen schwachen vorläufigen RSA-Schlüssel akzeptiert oder ein DH-Zertifikat verarbeitet, ohne dass es überprüft wurde, was eine Authentifizierung ohne privaten Schlüssel erlaubt.
Darüber hinaus weist das OpenSSL-Projekt darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum Jahresende eingestellt wird. „Danach erhalten diese Versionen keine Sicherheitsupdates mehr“, heißt es weiter in dem Advisory.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…
