Categories: Sicherheit

Neue Sicherheitslecks in OpenSSL geschlossen

Mit einem Update will das OpenSSL-Projekt acht Sicherheitslücken in der quelloffenen Verschlüsselungssoftware OpenSSL schließen. Laut Advisory lassen sich zwei Verwundbarkeiten für eine Denial-of-Service-Attacke ausnutzen. Im Vergangenen Jahr war die Verschlüsselungstechnologie durch die schwerwiegende Sicherheitslücke Heartbleed in die Schlagzeilen geraten. Die aktuellen Schwachstellen jedoch stuft das Projekt mit dem Risikobewertungen “mittel” beziehungsweise “gering” ein.

Tod Beardsley, Engineering Manager bei der Sicherheitsfirma Rapid7, rät via Mail an Computerworld, dass Systemadministratoren OpenSSL-Server-Instanzen in den kommenden Tagen aktualisieren sollten. Die Sicherheitslecks wruden in OpenSSL 1.0.1k, 1.0.0p und 0.9.8zd behoben. “Um einen zuverlässigen Service aufrechtzuerhalten, sollte OpenSSL aktualisiert oder durch nicht betroffene SSL-Bibliotheken wie LibreSSL ersetzt werden”, empfiehlt der Sicherheitsexperte.

Die beiden DoS-Lücken CVE-2014-3571 und CVE-2015-0206 kommen jedoch nur in der OpenSSL-Implementierung des Protokolls Datagram Transport Layer Security (DTLS) zum Einsatz, das weniger weit verbreitet sei als Transport Layer Security (TLS). DTLS ermögliche eine verschlüsselte Kommunikation über Datagram-Protokolle wie UDP und werde vor allem für virtuelle private Netzwerke (VPN) und das Echtzeit-Kommunikationsprotokoll WebRTC verwendet.

Die anderen Patches betreffen TLS und können zu unerwartetem Verhalten führen, wenn beispielsweise OpenSSL mit der Option “no-ssl3” verwendet wird. Ein anderer Fehler wiederum entfernt die Sicherheitstechnik Forward Secrecy. Das Update soll zudem verhindern, dass OpenSSL einen schwachen vorläufigen RSA-Schlüssel akzeptiert oder ein DH-Zertifikat verarbeitet, ohne dass es überprüft wurde, was eine Authentifizierung ohne privaten Schlüssel erlaubt.

Darüber hinaus weist das OpenSSL-Projekt darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum Jahresende eingestellt wird. “Danach erhalten diese Versionen keine Sicherheitsupdates mehr”, heißt es weiter in dem Advisory.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Studie: Umsetzungsdefizit bei Nachhaltigkeit in der IT

Obwohl das Thema Nachhaltigkeit bereits in neun von zehn Unternehmen einen hohen Stellenwert hat, verschiebt…

4 Tagen ago

BayWa AG digitalisiert Vertragsmanagement

Einheitliche Steuerung von Zehntausenden Lieferantenverträgen in der Cloud.

4 Tagen ago

Chatbot für den Einsatz im Kundenservice

Küchenequipment-Hersteller RATIONAL nutzt die API von ChatGPT für Callcenter-Entlastung.

4 Tagen ago

Bösartige Bots in Deutschland besonders aktiv

Eine Untersuchung des Cyber-Security-Anbieters Imperva warnt davor, dass automatisierte Bedrohungen ein wachsendes Risiko für Unternehmen darstellen.

4 Tagen ago

Schutz vor Malware im Jahr 2023

Prognosen und Expertenempfehlungen von Palo Alto zur Verbesserung der Sicherheitsstrategie von Unternehmen.

4 Tagen ago

Die neuen Grenzen des Contact Centers

Warum nicht vom allgemeinen Kundenbeziehungsmodell zu einem individuellen Beziehungsmodell übergehen, fragt Gastautor Jean-Denis Garo von…

4 Tagen ago