Neue Sicherheitslücken in OpenSSL gefunden – und geschlossen
Kommentare
Erneut mussten Sicherheitslücken in OpenSSL geschlossen werden. Mit einer dem berüchtigten Heartbleed-Bug vergleichbaren Schwere ist zwar nicht zu rechnen. Dennoch listet das...

Erneut mussten Sicherheitslücken in OpenSSL geschlossen werden. Mit einer dem berüchtigten Heartbleed-Bug vergleichbaren Schwere ist zwar nicht zu rechnen. Dennoch listet das OpenSSL-Team in einem Security Advisory sechs Security Fixes auf, von denen auch Cyber-Attacken ausgehen können.

Mit einer der Lücken (CVE-2014-0224) können sogenannte Man-in-the-middle (MITM) Attacken ausgeführt werden, bei denen Traffic zwischen Client und Server entschlüsselt bzw. modifiziert werden kann. Wie der Bug-Finder Masashi Kikuchi in einem Blogpost beschreibt, besteht bereits seit dem ersten Release von OpenSSL das Problem, dass ChangeCipherSpec (CCS) während eines Handshake nicht korrekt akzeptiert wird.

Allerdings können Attacken nur bei gleichzeitig betroffenem Client und Server durchgeführt werden, wobei Server nur in den Versionen OpenSSL 1.0.1 und 1.0.2-beta1 angreifbar sind. Vorsichtshalber wird allerdings auch Anwendern von serverseitigem OpenSSL vor 1.0.1 zum Upgrade geraten.

Weiterhin gefixt wurden:

  • DTLS recursion flaw
  • DTLS invalid fragment vulnerability
  • SSL_MODE_RELEASE_BUFFERS NULL pointer dereference
  • SSL_MODE_RELEASE_BUFFERS session injection or denial of service
  • Anonymous ECDH denial of service

Amazon hat bereits reagiert und ebenfalls ein Security Advisory für die Amazon Web Services veröffentlicht. Zu lesen ist dort allerdings bislang nur, dass viele der Probleme sich auf OpenSSL-Features beziehen, die nicht von den Amazon Web Services verwendet werden. Es sei davon auszugehen, dass AWS-Kunden nur marginal bis überhapt nicht betroffen sein werden. Weitere Infos will Amazon in Kürze nachliefern.

Die OpenSSL-Sicherheitsprobleme sind in den Updates 0.9.8za, 1.0.0m und 1.0.1h behoben. Die Versionen stehen unter https://www.openssl.org/source/ zum Download bereit.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -