Patch schließt Man-in-the-Middle-Lücke in OpenSSL

Das OpenSSL-Project hat wie angekündigt ein Sicherheitsupdate für die Verschlüsselungsbibliothek OpenSSL veröffentlicht. Die Schwachstelle, die Man-in-the-Middle-Angriffe erlaubt, wird allerdings noch nicht aktiv ausgenutzt. Betroffen sind auch nur die seit Juni erhältlichen Versionen 1.0.1n , 1.0.1o, 1.0.2b und 1.0.2c.

Wie Threatpost berichtet, könnte sich ein Angreifer als eine Certificate Authority ausgeben und ein gefälschtes TLS-Zertifikat ausstellen. Mithilfe des falschen Zertifikats sei es dann möglich, eine manipulierte Website als eine legitime Website auszugeben. Ursache seien fehlende Sicherheitsprüfungen für neue oder nicht vertrauenswürdige Zertifikate.

„Das ist ein schlimmer Fehler, der aber nur diejenigen betrifft, die das Release aus Juni installiert haben“, zitiert Threatpost Rich Salz, Mitglied des OpenSSL Development Team. „Der Bug wurde mit diesem Update eingeführt und betrifft nur relativ wenige Organisationen.“

Entdeckt wurde die Lücke von Entwicklern von BoringSSL – Googles eigner Open-Source-SSL-Software. Sie ist allerdings nicht als Ersatz für OpenSSL gedacht, weil ihr Application Programming Interface (ABI) und auch ihr Application Binary Interface für einen Einsatz in Sicherheitsprogrammen noch nicht stabil genug sind.

Schwachstellen wie diese zeigen leider auch, dass den Entwicklern von weit verbreiteten Open-Source-Technologien oft keine ausreichenden finanziellen Mittel zur Verfügung stehen. Sie sind beispielsweise nicht in der Lage, wie Google und andere Technologiefirmen Prämien für die Entdeckung von Sicherheitslücken zu zahlen.

OpenSSL war im vergangenen Jahr durch die Heartbleed genannte Anfälligkeit in das Interesse der Öffentlichkeit gerückt. Sie gibt Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten könnte ein Angreifer kritische Informationen auslesen und den Server sogar gegenüber Dritten verkörpern, indem er sich den Schlüssel des Originalservers verschafft. Als Reaktion darauf hatte Google dann auch das Projekt BoringSSL ins Leben gerufen, um den Aufwand zu reduzieren, der durch Patches für OpenSSL entsteht.

[mit Material von Tom Jowitt, TechWeekEurope]