Schwerwiegende Sicherheitslücke in OpenSSL ist nun geschlossen

Sicherheit
Open SSL Logo (Bild: OpenSSL Projekt)

Die als kritisch eingestufte Schwachstelle ermöglichte Denial-of-Service-Attacken. Insgesamt beseitigt das OpenSSL-Projekt zwölf Anfälligkeiten. Experten klassifizieren elf davon allerdings als nicht so gravierend wie die Heartbleed-Lücke.

Wie Anfang der Woche angekündigt, hat das OpenSSL-Projekt eine Sicherheitaktualisierung für seine gleichnamige Verschlüsselungssoftware herausgebracht. Insgesamt schließt es damit 12 Sicherheitslücken, von welchen eine als “kritisch” eingestuft worden ist. Betroffen sind die Versionen 1.0.2, 1.0.1, 1.0.0 und 0.9.8.

Open SSL Logo (Bild: OpenSSL Projekt)

Die schwerwiegende Anfälligkeit ermöglicht gegebenenfalls Denial-of-Service-Attacken gegen Server, die OpenSSL einsetzen. Am 26. Februar wurde sie von David Ramos von der Stanford University vertraulich gemeldet. Darüber hinaus wurde der Schweregrad der Freak-Schwachstelle im Nachgang von “niedrig” auf “kritisch” angehoben, nachdem Studien gezeigt hätten, dass die Verbreitung der für den Export gedachten schwachen RSA-Schlüssel größer sei als bislang angenommen, heißt es in einem Advisory. Demnach war dem OpenSSL-Projekt die Freak-Lücke bereits seit Oktober 2014 bekannt. Ein Patch ist seit dem 8. Januar verfügbar.

Von den weiteren entdeckten Bugs geht ein mittleres bis niedriges Risiko aus. Sie führen womöglich zu einem Absturz der Anwendung oder ermöglichen ebenfalls DoS-Attacken. Betroffene Nutzer sollten auf die aktualisierten Versionen 1.0.2a, 1.0.1m, 1.0.0r oder 0.9.8zf wechseln. Das OpenSSL-Projekt verweist zudem erneut darauf, dass die Unterstützung für die Versionen 1.0.0 und 0.9.8 am 31. Dezember eingestellt wird.

Reuters zufolge bewerten Sicherheitsspezialisten die jetzt behobenen Schwachstellen als nicht so gravierend wie die vor einem Jahr bekannt gewordene Heartbleed-Lücke. Sie ermöglichte Zugriff auf den flüchtigen Speicher eines Webservers. Auf diese Weise konnten Angreifer kritische Informationen auslesen und den Server auch gegenüber Dritten verkörpern, indem sie sich Zugang zu den Schlüsseln des Originalservers verschafften. Dadurch konnten sie gleichermaßen Nutzernamen und Passwörter eines betroffenen Dienstes auslesen.

“Das scheint keine große Geschichte zu sein”, zitiert Reuters Ivan Ristic, Director of Application Security bei Qualys. Hinsichtlich der Spekulationen, die die Patch-Ankündigung des OpenSSL-Projekts Anfang der Woche verursacht hatte, ergänzte er: “Ich glaube, die Leute hatten Angst, das würde schlimm werden, was den ganzen Hype ausgelöst hat.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen