OpenSSL ist angreifbar

Die offene Software für Chiffrierung in der http-Kommunikation ist ein wenig zu offen: Debian, Red Hats Fedora und IBMs Tivoli-Framework sind auf unterschiedliche Art von den Lücken betroffen.

von Manfred Kohlen 0

Ein Sicherheits-Update für Debian Linux beseitigt zwei Schwachstellen: Durch eine mangelnde Kontrolle durchgehender Kommandos konnten die rssh-Sicherheitsfunktionen in Debian GNU/Linux 6.0 umgangen werden. Die Lecks treten auch in Fedora Linux auf, ein anderes OpenSSL-Leck wiederum in IBMs Tivoli.

Der neueste Fehler in Debian Linux wurde zuerst im Red-Hat-Entwicklerblog gemeldet: Angreifer können die Zulassungsfilter für bestimmte Shell-Kommandos umgehen, indem sie selbst ein Argument für eine Shell-Restriktion an das System senden. Da die Schwachstelle über das lokale Netz aufgerufen werden muss, stuft Sicherheitsanbieter Secunia sie jedoch als “weniger kritisch” ein.

Der zweite behobene Bug bezieht sich auf eine weitere Möglichkeit, die Filter von rssh zu umgehen – rssh ist eine Shell-Umgebung für OpenSSH. Secunia empfiehlt hier, die Updates sofort zu installieren.

Auch IBMs Tivoli Management Framework 4.x ist von einem vergleichbaren Leck betroffen. Laut einem aktuellen IBM-Advisory kann es, weit gefährlicher, für Denial-of-Service-Angriffe missbraucht werden, denn hier kann das Schlupfloch auch von außen erreicht werden. Patches für die Unix- und die Windows-Version sind erhältlich.

Beim Gremium für die von allen Parteien genutzten OpenSSL-Quellcodes ist man da entspannter: Auf seinen Seiten stammen die letzten Bug-Fixes von Mai  2012. Die Lecks finden sich vor allem in den Umsetzungen verschiedener Hersteller.

ITespresso für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Möchten nicht auch Sie wissen, wie zufrieden andere Anwender mit der Nutzung ihrer CRM-Anwendung imSaaS-Modell sind, warum sie sich dagegen entschieden haben oder sich gar nicht damit beschäftigen wollen? Diesen und anderen Fragen geht Hassan Hosseini von The-Industry-Analyst.com in Kooperation mit dem Herausgeber von silicon.de in der aktuellen Umfrage zur CRM Nutzung als "Software as a Service" in Deutschland nach.

Jetzt teilnehmen!

Letzter Kommentar




0 Antworten zu OpenSSL ist angreifbar

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>