Schon wieder schwerwiegende Schwachstelle in OpenSSL gefunden

SicherheitSicherheitsmanagement
Open SSL Logo (Bild: OpenSSL Projekt)

Sie wurde in den Versionen 1.0.1 und 1.0.2 entdeckt. Die Sicherheitslücke lässt sich gegebenenfalls für Denial-of-Service-Attacken oder das Einschleusen und Ausführen von Schadcode ausnutzen. Das OpenSSL Project stellt am Donnerstag einen Patch für die Anfälligkeit bereit.

Das OpenSSL Project hat vor einem gravierenden Sicherheitsleck in seiner Crypto-Bibliothek gewarnt. Details teilte das Projekt noch nicht mit. Für gewöhnlich betrifft ein als kritisch bewerteter Fehler jedoch weit verbreitete Konfigurationen und lässt sich für Denial-of-Service-Attacken oder zum Einschleusen und Ausführen von Schadcode aus der Ferne ausnutzen.

Computerworld zufolge wird die OpenSSL-Bibliothek etwa für die Chiffrierung von Protokollen wie HTTPS (HTTP Secure), IMAPS (Internet Message Access Protocol Secure) und SMTPS (Simple Mail Transfer Protocol Secure) verwendet. Somit findet sie sich in zahlreichen Anwendungen und Systemen, von Webservern bis hin zu Embedded-Geräten, von denen einige nicht so einfach gepatcht werden können.

Der Fehler wurde in den OpenSSL-Versionen 1.0.1 und 1.0.2 entdeckt. Aktualisierungen auf die Versionen 1.0.1p und 1.0.2d, welche die Schwachstellen beheben sollen, stehen dem Projekt zufolge ab Donnerstag bereit. Die lediglich noch bis Jahresende unterstützten Versionen 0.9.8 und 1.0.0 sind nicht von dem Bug betroffen.

VBergangenes Jahr hatte die als Heartbleed bezeichnete Lücke in OpenSSL für Schlagzeilen gesorgt. Sie erlaubte den Zugang zum flüchtigen Speicher eines Webservers. Ein Angreifer könnte mit den Daten kritische Informationen auslesen und sich gegenüber Dritten sogar als Server ausgeben, indem er sich den Schlüssel des Originalservers besorgt. Laut einer Studie von Errata Security waren zwei Monate nach der Entdeckung von Heartbleed noch immer über 300.000 Server weltweit ungepatcht und somit anfällig.

Gavin Millard, Technical Director EMEA bei Tenable Network Security, empfiehlt Administratoren, trotz der Vorwarnung des OpenSSL Project besonnen zu bleiben. “Anstatt sich Sorgen zu machen, dass Heartbleed Nummer 2 oder ein noch schwerwiegenderer Bug vor der Tür steht, der Code von außerhalb durchführen kann, sollten Unternehmen sich vielmehr die Zeit nehmen zu prüfen, wo sie OpenSSL 1.0.2 und 1.0.1 in ihren Umgebungen nutzen. Damit sind sie vorbereitet, wenn am Donnerstag Details bekannt gegeben werden.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen