Tod Beardsley, Engineering Manager bei der Sicherheitsfirma Rapid7, rät via Mail an Computerworld, dass Systemadministratoren OpenSSL-Server-Instanzen in den kommenden Tagen aktualisieren sollten. Die Sicherheitslecks wruden in OpenSSL 1.0.1k, 1.0.0p und 0.9.8zd behoben. “Um einen zuverlässigen Service aufrechtzuerhalten, sollte OpenSSL aktualisiert oder durch nicht betroffene SSL-Bibliotheken wie LibreSSL ersetzt werden”, empfiehlt der Sicherheitsexperte.
Die beiden DoS-Lücken CVE-2014-3571 und CVE-2015-0206 kommen jedoch nur in der OpenSSL-Implementierung des Protokolls Datagram Transport Layer Security (DTLS) zum Einsatz, das weniger weit verbreitet sei als Transport Layer Security (TLS). DTLS ermögliche eine verschlüsselte Kommunikation über Datagram-Protokolle wie UDP und werde vor allem für virtuelle private Netzwerke (VPN) und das Echtzeit-Kommunikationsprotokoll WebRTC verwendet.
Die anderen Patches betreffen TLS und können zu unerwartetem Verhalten führen, wenn beispielsweise OpenSSL mit der Option “no-ssl3” verwendet wird. Ein anderer Fehler wiederum entfernt die Sicherheitstechnik Forward Secrecy. Das Update soll zudem verhindern, dass OpenSSL einen schwachen vorläufigen RSA-Schlüssel akzeptiert oder ein DH-Zertifikat verarbeitet, ohne dass es überprüft wurde, was eine Authentifizierung ohne privaten Schlüssel erlaubt.
Darüber hinaus weist das OpenSSL-Projekt darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum Jahresende eingestellt wird. “Danach erhalten diese Versionen keine Sicherheitsupdates mehr”, heißt es weiter in dem Advisory.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
Medizingeräte Hersteller Tuttnauer schützt Gerätesoftware mit IoT-Sicherheitslösung.
Unternehmen aus der DACH-Region sehen nur vereinzelt Anwendungsmöglichkeiten für die Blockchain-Technologie.
SAS bietet einsatzfertige KI-Modelle für konkrete Herausforderungen wie Betrugserkennung und Lieferkettenoptimierung.
Cisco stellt neuen Ansatz zur umfassenden Absicherung der IT-Infrastruktur vor.
Deloitte-Studie äußert jedoch Verständnis für die Zurückhaltung der Kunden. Nutzen der Angebote sei hierzulande kaum…