OpenSSL: Entwickler schließen acht weitere Sicherheitslücken

Netzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement
Open SSL Logo (Bild: OpenSSL Projekt)

Angreifer könnten sie für DoS-Angriffe ausnutzen. Die Sicherheitslücken CVE-2014-3571 und CVE-2015-0206 stecken in der DTLS-Implementierung von OpenSSL. Andere Fehler führen dazu, dass die Funktionsweise der Sicherheitstechnik Forward Secrecy beeinträchtigt, schwache Schlüssel akzeptiert oder ein DH-Zertifikat ungeprüft übernommen wird.

Das OpenSSL-Projekt hat ein Update veröffentlicht, das acht Sicherheitslücken seiner Verschlüsselungssoftware behebt. Zwei der Schachstellen können den Entwicklern zufolge für Denial-of-Service-Angriffe ausgenutzt werden. Im Gegensatz zu der im vergangenen Jahr aufgedeckten ausgesprochen gefährlichen Heartbleed-Lücke stufen die Entwickler das von den nun geschlossenen Schwachstellen ausgehende Risiko lediglich als “mittel” beziehungsweise “gering” ein. Das OpenSSL-Projekt weist auch darauf hin, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 zum Jahresende eingestellt wird.

Die jetzt geschlossenen Sicherheitslücken CVE-2014-3571 und CVE-2015-0206 erlauben Angreifern anderm DoS-Angriffe (Bild: OpenSSL Projekt)

Systemadministratoren von OpenSSL-Server-Instanzen sollten diese trotz der vergleichsweise geringen Gefahr in den kommenden Tagen trotzdem aktualisieren, rät Tod Beardsley, Engineering Manager bei der Sicherheitsfirma Rapid7. Gegenüber Computerworld erklärt er, die Schwachstellen seien in OpenSSL 1.0.1k, 1.0.0p und 0.9.8zd geschlossen worden. “Um einen zuverlässigen Service aufrechtzuerhalten, sollte OpenSSL aktualisiert oder durch nicht betroffene SSL-Bibliotheken wie LibreSSL ersetzt werden.”

Die beiden Sicherheitslücken mit den Kennungen CVE-2014-3571 und CVE-2015-0206, die DoS-Angriffe erlauben, stecken dem Bericht zufolge nur in der OpenSSL-Implementierung des Protokolls Datagram Transport Layer Security (DTLS), das weniger verbreitet ist als Transport Layer Security (TLS). DTLS dient der verschlüsselten Kommunikation über Datagram-Protokolle wie UDP und wird vor allem für VPNs und das Echtzeit-Kommunikationsprotokoll WebRTC verwendet.

Die anderen Patches betreffen TLS und die Sicherheitstechnik Forward Secrecy. Das Update soll zudem verhindern, dass OpenSSL einen schwachen vorläufigen RSA-Schlüssel akzeptiert oder ein ungeprüftes DH-Zertifikat verarbeitet, wodurch die Authentifizierung ohne privaten Schlüssel möglich ist.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen