OpenSSL.org veröffentlicht Updates für insgesamt neun Sicherheitslecks in der quelloffenen und weit verbreiteten Verschlüsselungstechnologie OpenSSL. Die Patches beheben Lecks, die sich für Denail-of-Service-Attacken, Memory-Fehlfunktionen oder für das Entwenden von Informationen verwenden lassen. Keiner der Fehler ist so schwerwiegend wie das Heartbleed-Leck, das im April für Schlagzeilen sorgte. Dennoch sollten die Aktualisierungen aufgespielt werden.
So kann zum beispiel über den Fehler in (CVE-2014-3508) OBJ_obj2txt ein Angreifer Informationen aus Anwendungen über Pretty Printing heraus lesen. OpenSSL SSL/TLS Clients und Server sind davon allerdings nicht betroffen.
Ein weiteres Beispiel ist die OpenSSL TLS Protocol Downgrade Attacke (CVE-2014-3511). Hier sorgt ein Fehler im
Weitere Fixes, wie der DTLS Memory Leak (CVE-2014-3507) lassen sich für Denial-of-Service-Attacken ausnutzen. Die Aktualisierungen betreffen OpenSSL 1.0.1, 1.0.0 und 0.9.8. Die Versionen OpenSSL 0.9.6 und 0.9.7 werden nicht mehr länger unterstützt und bekommen daher auch keine Updates mehr.
All diese Probleme wurden in den Monaten Juni und Juli von Sicherheitsexperten von Google, LogMeIn, NCC Group und Codenomicon gemeldet.
Nach dem Bekanntwerden der Heartbleed-Attacke im April wurde der OpenSSL-Code einer umfassenden Prüfung unterzogen. Und diese insgesamt neun Updates gehen damit auf diese Analyse zurück. Nachdem viele Unternehmen sich auf diese Open Source Technologie verlassen, stellten einige Unternehmen wie Google Mitarbeiter für die Analyse des Codes ab.
Heartbleed galt aufgrund der Schwere und auch aufgrund der hohen Verbreitung des Fehlers als einer der wichtigsten Bugs der vergangenen Jahre. Das Unternehmen Codenomicon bietet nach wie vor einen Service, über den Anwender prüfen können, ob ihre Infrastruktur von dem Fehler betroffen ist.
Zudem waren die Angriffe via Heartbleed meist kaum zu entdecken. Der Sicherheitsanbieter Condenomicon hatte den Bug damals entdeckt. Über ein Memory-Leak konnte ein Angreifer Passwörter und Private SSL/TLS Keys (Secure Sockets Layer/Transoport Layer Security) auslesen. Dieses Schlüssel werden verwendet, um verschlüsselte Daten auszulesen.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.