NewsSicherheitSicherheitsmanagement

OpenSSL ist angreifbar

0 0 Keine Kommentare

Die offene Software für Chiffrierung in der http-Kommunikation ist ein wenig zu offen: Debian, Red Hats Fedora und IBMs Tivoli-Framework sind auf unterschiedliche Art von den Lücken betroffen.

Ein Sicherheits-Update für Debian Linux beseitigt zwei Schwachstellen: Durch eine mangelnde Kontrolle durchgehender Kommandos konnten die rssh-Sicherheitsfunktionen in Debian GNU/Linux 6.0 umgangen werden. Die Lecks treten auch in Fedora Linux auf, ein anderes OpenSSL-Leck wiederum in IBMs Tivoli.

Der neueste Fehler in Debian Linux wurde zuerst im Red-Hat-Entwicklerblog gemeldet: Angreifer können die Zulassungsfilter für bestimmte Shell-Kommandos umgehen, indem sie selbst ein Argument für eine Shell-Restriktion an das System senden. Da die Schwachstelle über das lokale Netz aufgerufen werden muss, stuft Sicherheitsanbieter Secunia sie jedoch als “weniger kritisch” ein.

Der zweite behobene Bug bezieht sich auf eine weitere Möglichkeit, die Filter von rssh zu umgehen – rssh ist eine Shell-Umgebung für OpenSSH. Secunia empfiehlt hier, die Updates sofort zu installieren.

Auch IBMs Tivoli Management Framework 4.x ist von einem vergleichbaren Leck betroffen. Laut einem aktuellen IBM-Advisory kann es, weit gefährlicher, für Denial-of-Service-Angriffe missbraucht werden, denn hier kann das Schlupfloch auch von außen erreicht werden. Patches für die Unix- und die Windows-Version sind erhältlich.

Beim Gremium für die von allen Parteien genutzten OpenSSL-Quellcodes ist man da entspannter: Auf seinen Seiten stammen die letzten Bug-Fixes von Mai  2012. Die Lecks finden sich vor allem in den Umsetzungen verschiedener Hersteller.