Neue Sicherheitslecks in OpenSSL geschlossen

OpenSSL (OpenSSL.org)

Das Update soll unter anderem DoS-Angriffe verhindern. Betroffen von den Lecks ist die DTLS-Implementierung von OpenSSL. Diese kommt bei VPN und WebRTC zum Einsatz. Ein weiterer Fehler umgeht das Sicherheitsfeature Forward Secrecy.

Logo OpenSSLMit einem Update will das OpenSSL-Projekt acht Sicherheitslücken in der quelloffenen Verschlüsselungssoftware OpenSSL schließen. Laut Advisory lassen sich zwei Verwundbarkeiten für eine Denial-of-Service-Attacke ausnutzen. Im Vergangenen Jahr war die Verschlüsselungstechnologie durch die schwerwiegende Sicherheitslücke Heartbleed in die Schlagzeilen geraten. Die aktuellen Schwachstellen jedoch stuft das Projekt mit dem Risikobewertungen “mittel” beziehungsweise “gering” ein.

Tod Beardsley, Engineering Manager bei der Sicherheitsfirma Rapid7, rät via Mail an Computerworld, dass Systemadministratoren OpenSSL-Server-Instanzen in den kommenden Tagen aktualisieren sollten. Die Sicherheitslecks wruden in OpenSSL 1.0.1k, 1.0.0p und 0.9.8zd behoben. “Um einen zuverlässigen Service aufrechtzuerhalten, sollte OpenSSL aktualisiert oder durch nicht betroffene SSL-Bibliotheken wie LibreSSL ersetzt werden”, empfiehlt der Sicherheitsexperte.

Die beiden DoS-Lücken CVE-2014-3571 und CVE-2015-0206 kommen jedoch nur in der OpenSSL-Implementierung des Protokolls Datagram Transport Layer Security (DTLS) zum Einsatz, das weniger weit verbreitet sei als Transport Layer Security (TLS). DTLS ermögliche eine verschlüsselte Kommunikation über Datagram-Protokolle wie UDP und werde vor allem für virtuelle private Netzwerke (VPN) und das Echtzeit-Kommunikationsprotokoll WebRTC verwendet.

Die anderen Patches betreffen TLS und können zu unerwartetem Verhalten führen, wenn beispielsweise OpenSSL mit der Option “no-ssl3” verwendet wird. Ein anderer Fehler wiederum entfernt die Sicherheitstechnik Forward Secrecy. Das Update soll zudem verhindern, dass OpenSSL einen schwachen vorläufigen RSA-Schlüssel akzeptiert oder ein DH-Zertifikat verarbeitet, ohne dass es überprüft wurde, was eine Authentifizierung ohne privaten Schlüssel erlaubt.

Darüber hinaus weist das OpenSSL-Projekt darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum Jahresende eingestellt wird. “Danach erhalten diese Versionen keine Sicherheitsupdates mehr”, heißt es weiter in dem Advisory.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de