OpenSSL: Entwickler schließen acht weitere Sicherheitslücken

Peter Marwan,
Netzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement
Open SSL Logo (Bild: OpenSSL Projekt)

Das OpenSSL-Projekt hat ein Update veröffentlicht, das acht Sicherheitslücken seiner Verschlüsselungssoftware behebt. Zwei der Schachstellen können den Entwicklern zufolge für Denial-of-Service-Angriffe ausgenutzt werden. Im Gegensatz zu der im vergangenen Jahr aufgedeckten ausgesprochen gefährlichen Heartbleed-Lücke stufen die Entwickler das von den nun geschlossenen Schwachstellen ausgehende Risiko lediglich als “mittel” beziehungsweise “gering” ein. Das OpenSSL-Projekt weist auch darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum Jahresende eingestellt wird.

Die jetzt geschlossenen Sicherheitslücken CVE-2014-3571 und CVE-2015-0206 erlauben Angreifern anderm DoS-Angriffe (Bild: OpenSSL Projekt)

Systemadministratoren von OpenSSL-Server-Instanzen sollten diese trotz der vergleichsweise geringen Gefahr in den kommenden Tagen trotzdem aktualisieren, rät Tod Beardsley, Engineering Manager bei der Sicherheitsfirma Rapid7. Gegenüber Computerworld erklärt er, die Schwachstellen seien in OpenSSL 1.0.1k, 1.0.0p und 0.9.8zd geschlossen worden. “Um einen zuverlässigen Service aufrechtzuerhalten, sollte OpenSSL aktualisiert oder durch nicht betroffene SSL-Bibliotheken wie LibreSSL ersetzt werden.”

Die beiden Sicherheitslücken mit den Kennungen CVE-2014-3571 und CVE-2015-0206, die DoS-Angriffe erlauben, stecken dem Bericht zufolge nur in der OpenSSL-Implementierung des Protokolls Datagram Transport Layer Security (DTLS), das weniger verbreitet ist als Transport Layer Security (TLS). DTLS dient der verschlüsselten Kommunikation über Datagram-Protokolle wie UDP und wird vor allem für VPNs und das Echtzeit-Kommunikationsprotokoll WebRTC verwendet.

Die anderen Patches betreffen TLS und die Sicherheitstechnik Forward Secrecy. Das Update soll zudem verhindern, dass OpenSSL einen schwachen vorläufigen RSA-Schlüssel akzeptiert oder ein ungeprüftes DH-Zertifikat verarbeitet, wodurch die Authentifizierung ohne privaten Schlüssel möglich ist.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Lesen Sie auch :

Stau vermeiden mit Netzwerk-Monitoring

Bandbreiten-Monitoring richtig eingesetzt – Fünf Ursachen für plötzliche Traffic-Spitzen

HP Inc. führt für Business-Rechner HP Sure Click ein
Peter Marwan
Autor: Peter Marwan
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen