Categories: SicherheitSicherheitsmanagement

Patch schließt Man-in-the-Middle-Lücke in OpenSSL

Das OpenSSL-Project hat wie angekündigt ein Sicherheitsupdate für die Verschlüsselungsbibliothek OpenSSL veröffentlicht. Die Schwachstelle, die Man-in-the-Middle-Angriffe erlaubt, wird allerdings noch nicht aktiv ausgenutzt. Betroffen sind auch nur die seit Juni erhältlichen Versionen 1.0.1n , 1.0.1o, 1.0.2b und 1.0.2c.

Wie Threatpost berichtet, könnte sich ein Angreifer als eine Certificate Authority ausgeben und ein gefälschtes TLS-Zertifikat ausstellen. Mithilfe des falschen Zertifikats sei es dann möglich, eine manipulierte Website als eine legitime Website auszugeben. Ursache seien fehlende Sicherheitsprüfungen für neue oder nicht vertrauenswürdige Zertifikate.

„Das ist ein schlimmer Fehler, der aber nur diejenigen betrifft, die das Release aus Juni installiert haben“, zitiert Threatpost Rich Salz, Mitglied des OpenSSL Development Team. „Der Bug wurde mit diesem Update eingeführt und betrifft nur relativ wenige Organisationen.“

Entdeckt wurde die Lücke von Entwicklern von BoringSSL – Googles eigner Open-Source-SSL-Software. Sie ist allerdings nicht als Ersatz für OpenSSL gedacht, weil ihr Application Programming Interface (ABI) und auch ihr Application Binary Interface für einen Einsatz in Sicherheitsprogrammen noch nicht stabil genug sind.

Schwachstellen wie diese zeigen leider auch, dass den Entwicklern von weit verbreiteten Open-Source-Technologien oft keine ausreichenden finanziellen Mittel zur Verfügung stehen. Sie sind beispielsweise nicht in der Lage, wie Google und andere Technologiefirmen Prämien für die Entdeckung von Sicherheitslücken zu zahlen.

OpenSSL war im vergangenen Jahr durch die Heartbleed genannte Anfälligkeit in das Interesse der Öffentlichkeit gerückt. Sie gibt Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten könnte ein Angreifer kritische Informationen auslesen und den Server sogar gegenüber Dritten verkörpern, indem er sich den Schlüssel des Originalservers verschafft. Als Reaktion darauf hatte Google dann auch das Projekt BoringSSL ins Leben gerufen, um den Aufwand zu reduzieren, der durch Patches für OpenSSL entsteht.

[mit Material von Tom Jowitt, TechWeekEurope]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: Open SourceSecure-ITSicherheitVerschlüsselung
9 Jahren ago

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago