Mehrere neue Sicherheitslücken in OpenSSL

5. Juni 2014, 15:17
17 Postings

Man-in-the-Middle-Attacken und Ausführung von Schadcode möglich - Updates verfügbar

Mit einem Sammelupdate schließt das OpenSSL-Projekt gleich sieben sicherheitsrelevante Probleme in der eigenen Software.

Bugs

So konnte eine Lücke für Man-in-the-Middle-Attacken genutzt werden, vorausgesetzt sowohl Client als auch Server waren mit einer verwundbaren Version ausgestattet. Über einen anderen Bug ließ sich beliebiger Code einschmuggeln und zur Ausführung bringen.

Updates

Das Projekt selbst hat mit OpenSSL 0.9.8za, 1.0.0m und 1.0.1h bereits neue Versionen der eigenen Software veröffentlicht. Nun ist es an den diversen Softwareanbietern - allen voran Linux-Distributionen - Updates über ihre Kanäle auszuliefern. Im Gegensatz zur viel diskutierten Heartbleed-Lücke ist dieses Mal auch Apples OS X betroffen. Insofern gilt es auch hier auf ein baldiges Update zu hoffen.

Ratschlag

Bei Cert.at rät man zu einem umgehenden Update, auch wenn derzeit keine aktiven Angriffe auf diese Lücken bekannt sind. Zu befürchten sei desweiteren, dass zahlreiche Smartphones und Tablets von den Lücken betroffen sind.

Einstufung

Allgemein ist das jetzige Auftauchen der Lücken allerdings kein neuer Hinweis auf die schlechte Sicherheitssituation rund um OpenSSL. Viel mehr scheinen nach Heartbleed mittlerweile verstärkt externe Firmen nach Lücken suchen, um diese zu bereinigen. (red, derStandard.at, 5.6.2014)

Share if you care.