Die OpenSSL-Entwickler haben Sicherheitsupdates für ihre freie Software für Transport Layer Security (TLS) veröffentlicht. Damit beseitigen sie insgesamt sieben Schwachstellen. Darunter ist auch die im Mai als „Logjam“ bekannt gewordene Lücke (CVE-2015-4000) in den Verschlüsselungsalgorithmen, die für sichere Internetverbindungen via HTTPS, SSH und VPN verwendet werden. Angreifer können sie für Man-in-the-Middle-Angriffe ausnutzen und so die Verschlüsselung schwächen oder knacken, um den Datenverkehr mitzulesen.
Von der Schwachstelle betroffen ist jedes Protokoll, das den Diffie-Hellman-Schlüsselaustausch verwendet. Um sie auszunutzen, müsste ein Angreifer aber in der Lage sein, den Datenverkehr zwischen sicherem Server und Client abzufangen. Zudem setzt die Entschlüsselung trotz einer Schwächung erhebliche Computerressourcen voraus.
Wer jetzt OpenSSL aktualisiert, wird sich um Logjam keine Gedanken mehr machen müssen. Der Fix sichert TLS-Clients ab, indem Handshakes mit Diffie-Hellman-Parametern, die kürzer als 768 Bit sind, zurückgewiesen werden. In einem der nächsten Releases von OpenSSL wollen die Entwickler diesen Wert auf 1024 Bits hochsetzen. Das Sicherheitsunternehmen Trend Micro erklärte im Mai allerdings, dass auch dies keinen absoluten Schutz biete. Die wichtigsten Browser-Hersteller hatten schon kurz nach Bekanntwerden der Logjam-Lücke reagiert und Patches bereitgestellt. Diese sorgten ebenfalls dafür, dass kurze Schlüssel abgelehnt wurden. Dennoch sollten Anwender von OpenSSL 1.0.2 sicherheitshalber auf Version 1.0.2b aktualisieren und Nutzer von OpenSSL 1.0.1 auf 1.0.1n.
Die Schwachstellen, die das OpenSSL-Team jetzt beseitigt hat, sind bei Weitem nicht so gefährlich wie Heartbleed oder Freak, sollten aber dennoch per Patch ausgemerzt werden. Die meisten lassen sich für Denial-of-Service-Attacken ausnutzen. Eine erlaubt auch einen Angriff auf eine ältere Version von OpenSSL, um Speicherfehler zu provizieren. Davon betroffen sind OpenSSL 1.0.1, 1.0.0 und 0.9.8. Daher sollten Nutzer auf die Versionen 1.0.1h, 1.0.0m beziehungsweise 0.9.8za aktualisieren.
In ihrer Sicherheitsmeldung weisen die Entwickler zudem nochmals darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum 31. Dezember 2015 ausläuft. Ab diesem Zeitpunkt werden sie keine Sicherheitsupdates mehr für diese Releases bereitstellen. Daher sollten Nutzer schnellstmöglich auf eine neuere Version von OpenSSL umsteigen.
[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…