Categories: CybersicherheitUnternehmen

Update für OpenSSL behebt kritische Sicherheitslücke

Für die Verschlüsselungssoftware OpenSSL hat das gleichnamige Projekt ein Update für sechs Sicherheitslücken zum Download bereitgestellt. Angreifer können mindestens eine der Anfälligkeiten nutzen, um Datenverkehr zu entschlüsseln und zu modifizieren. Betroffen sind alle Client-Versionen von OpenSSL sowie die Server-Versionen 1.0.1 und 1.0.2 Beta 1.

Aus einer Sicherheitswarnung geht hervor, dass die Schwachstelle mit der Kennung CVE-2014-0224 Man-in-the-Middle-Angriffe ermöglicht. Jedoch müssen Client und Server dafür eine fehlerhafte Version von OpenSSL einsetzen. Kikuchi Masashi hat die Sicherheitslücke entdeckt und bereits am 1. Mai das OpenSSl-Projekt informiert.

In einem Blog schreibt der Google-Mitarbeiter Adam Langley, dass der Fehler auch im Quellcode der Version 0.9.1c befinde. Dieser stammt bereits aus dem Jahr 1998. “Der betroffene Code scheint nahezu unverändert. Es sieht also so aus, als existiert dieser Bug seit mehr als 15 Jahren”, heißt es in seinem Blog.

Nach seiner Aussage seien nicht auf OpenSSL-Clients basierende wie Internet Explorer, Firefox, Chrome für Desktops und iOS sowie Safari nicht gefährdet. Dennoch empfiehlt er allen OpenSSL-Nutzern, die Aktualisierungen zu installieren. Die Sicherheitslücken sind OpenSSL zufolge in OpenSSL 0.9.8za, 1.0.0.m und 1.0.1h behoben.

Für Aufruhr sorgte Anfang April die als Heartbleed bezeichnete Schwachstelle in OpenSSL. Sie ermöglichte den Zugriff auf den flüchtigen Speicher eines Webservers. Angreifer könnten auf diese Weise kritische Informationen auslesen. Zudem wären sie in der Lage, den Server sogar gegenüber Dritten zu verkörpern. Dafür müssen sie nur an den Schlüssel des Originalservers gelangen. Aus diesem Grund mussten Betreiber OpenSSL-basierter Websites nicht nur ihre Server patchen, sondern auch SSL-Zertifikate neu ausstellen und die zugehörigen Schlüssel ersetzen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Leave a Comment
Share
Published by
Andre Borbe
Tags: Secure-ITVerschlüsselung
10 Jahre ago

Recent Posts

Blockchain bleibt Nischentechnologie

Unternehmen aus der DACH-Region sehen nur vereinzelt Anwendungsmöglichkeiten für die Blockchain-Technologie.

13 Stunden ago

Branchenspezifische KI-Modelle

SAS bietet einsatzfertige KI-Modelle für konkrete Herausforderungen wie Betrugserkennung und Lieferkettenoptimierung.

17 Stunden ago

Hypershield: Umfassender Schutz von Cloud über Rechenzentrum bis Fabrikhalle

Cisco stellt neuen Ansatz zur umfassenden Absicherung der IT-Infrastruktur vor.

23 Stunden ago

Vernetztes Fahren: Bereitschaft zum Teilen von Daten gering

Deloitte-Studie äußert jedoch Verständnis für die Zurückhaltung der Kunden. Nutzen der Angebote sei hierzulande kaum…

3 Tagen ago

Plattenspiegelung ist keine Backup-Recovery-Strategie

Die Ziele einer Festplattenspiegelung und eines Backups sind unterschiedlich, sagt Sven Richter von Arcserve.

3 Tagen ago

Chaos bei der Umsetzung von NIS-2 droht

Das Damoklesschwert NIS-2 kann daher schneller wirksam werden, als manchem lieb ist, warnt Bernhard Kretschmer…

3 Tagen ago