Open-SSL-Entwickler schließen kürzlich entdeckte Lücke

Das OpenSSL-Project hat die kürzlich bekannt gewordene, gravierende Sicherheitslücke in seiner Software jetzt geschlossen. Die Schwachstelle erlaubt Man-in-the-Middle-Angriffe. Sie sei bisher allerdings noch nicht von Angreifern ausgenutzt worden. Betroffen sind die seit Juni erhältlichen Versionen 1.0.1n , 1.0.1o, 1.0.2b und 1.0.2c.

Einem Bericht von Threatpost zufolge, könnte sich ein Angreifer als Certificate Authority ausgeben und ein gefälschtes TLS-Zertifikat ausstellen. Mit dem gefälschten Zertifikat wäre es ihm dann möglich, eine von ihm manipulierte als eine legitime Website auszugeben. Ursache für den Fehler seien fehlende Sicherheitsprüfungen für neue oder nicht vertrauenswürdige Zertifikate.

“Das ist ein schlimmer Fehler, der aber nur diejenigen betrifft, die das Release aus Juni installiert haben”, erklärt Rich Salz, Mitglied des OpenSSL Development Teams, ggenüber Threatpost. “Der Bug wurde mit diesem Update eingeführt und betrifft nur relativ wenige Organisationen.”

Die Lücke wurde von Entwicklern von BoringSSL entdeckt. Dabei handelt es sich um Googles eigne Open-Source-SSL-Software. Allerdings kann sie derzeit OpenSSL nicht ersetzen, weil weder Application Programming Interface noch Application Binary Interface für einen Einsatz in Sicherheitsprogrammen stabil genug sind.

OpenSSL war im vergangenen Jahr durch die Heartbleed genannte Schachstelle in die Schlagzeilen geraten. Sie ermöglichte Angreifern Zugriff auf den flüchtigen Speicher eines Webservers. Mit den so erbeuteten Daten konnte er dann ein Angreifer vertrauliche Informationen auslesen und den Server sogar gegenüber Dritten verkörpern, indem er sich den Schlüssel des Originalservers verschaffte. Als Reaktion darauf hatte Google dann auch das Projekt BoringSSL ins Leben gerufen, um den Aufwand zu reduzieren, der durch Patches für OpenSSL entsteht.

[mit Material von Stefan Beiersmann, ZDNet.de]