Categories: Sicherheit

OpenSSL-Update schließt Logjam-Lücke

Die OpenSSL-Entwickler haben Sicherheitsupdates für ihre freie Software für Transport Layer Security (TLS) veröffentlicht. Damit beseitigen sie insgesamt sieben Schwachstellen. Darunter ist auch die im Mai als „Logjam“ bekannt gewordene Lücke (CVE-2015-4000) in den Verschlüsselungsalgorithmen, die für sichere Internetverbindungen via HTTPS, SSH und VPN verwendet werden. Angreifer können sie für Man-in-the-Middle-Angriffe ausnutzen und so die Verschlüsselung schwächen oder knacken, um den Datenverkehr mitzulesen.

Die Logjam-Lücke resultiert aus einem Problem mit dem Diffie-Hellman-Schlüsselaustausch. Diffie-Hellman ist ein häufig bei SSL und TLS eingesetzter Algorithmus zum Aufbau einer sicheren Verbindung. Logjam erlaubte es Hackern theoretisch, die Schlüsselstärke des akzeptierten Algorithmus auf ein angreifbares Maß von 512 Bit zu reduzieren. In der Praxis scheint es – wenn überhaupt – aber nur zu wenigen erfolgreichen Angriffen gekommen zu sein.

Von der Schwachstelle betroffen ist jedes Protokoll, das den Diffie-Hellman-Schlüsselaustausch verwendet. Um sie auszunutzen, müsste ein Angreifer aber in der Lage sein, den Datenverkehr zwischen sicherem Server und Client abzufangen. Zudem setzt die Entschlüsselung trotz einer Schwächung erhebliche Computerressourcen voraus.

Wer jetzt OpenSSL aktualisiert, wird sich um Logjam keine Gedanken mehr machen müssen. Der Fix sichert TLS-Clients ab, indem Handshakes mit Diffie-Hellman-Parametern, die kürzer als 768 Bit sind, zurückgewiesen werden. In einem der nächsten Releases von OpenSSL wollen die Entwickler diesen Wert auf 1024 Bits hochsetzen. Das Sicherheitsunternehmen Trend Micro erklärte im Mai allerdings, dass auch dies keinen absoluten Schutz biete. Die wichtigsten Browser-Hersteller hatten schon kurz nach Bekanntwerden der Logjam-Lücke reagiert und Patches bereitgestellt. Diese sorgten ebenfalls dafür, dass kurze Schlüssel abgelehnt wurden. Dennoch sollten Anwender von OpenSSL 1.0.2 sicherheitshalber auf Version 1.0.2b aktualisieren und Nutzer von OpenSSL 1.0.1 auf 1.0.1n.

Die Schwachstellen, die das OpenSSL-Team jetzt beseitigt hat, sind bei Weitem nicht so gefährlich wie Heartbleed oder Freak, sollten aber dennoch per Patch ausgemerzt werden. Die meisten lassen sich für Denial-of-Service-Attacken ausnutzen. Eine erlaubt auch einen Angriff auf eine ältere Version von OpenSSL, um Speicherfehler zu provizieren. Davon betroffen sind OpenSSL 1.0.1, 1.0.0 und 0.9.8. Daher sollten Nutzer auf die Versionen 1.0.1h, 1.0.0m beziehungsweise 0.9.8za aktualisieren.

In ihrer Sicherheitsmeldung weisen die Entwickler zudem nochmals darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum 31. Dezember 2015 ausläuft. Ab diesem Zeitpunkt werden sie keine Sicherheitsupdates mehr für diese Releases bereitstellen. Daher sollten Nutzer schnellstmöglich auf eine neuere Version von OpenSSL umsteigen.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago