Mehrere neue Sicherheitslücken in OpenSSL

    5. Juni 2014, 15:17
    17 Postings

    Man-in-the-Middle-Attacken und Ausführung von Schadcode möglich - Updates verfügbar

    Mit einem Sammelupdate schließt das OpenSSL-Projekt gleich sieben sicherheitsrelevante Probleme in der eigenen Software.

    Bugs

    So konnte eine Lücke für Man-in-the-Middle-Attacken genutzt werden, vorausgesetzt sowohl Client als auch Server waren mit einer verwundbaren Version ausgestattet. Über einen anderen Bug ließ sich beliebiger Code einschmuggeln und zur Ausführung bringen.

    Updates

    Das Projekt selbst hat mit OpenSSL 0.9.8za, 1.0.0m und 1.0.1h bereits neue Versionen der eigenen Software veröffentlicht. Nun ist es an den diversen Softwareanbietern - allen voran Linux-Distributionen - Updates über ihre Kanäle auszuliefern. Im Gegensatz zur viel diskutierten Heartbleed-Lücke ist dieses Mal auch Apples OS X betroffen. Insofern gilt es auch hier auf ein baldiges Update zu hoffen.

    Ratschlag

    Bei Cert.at rät man zu einem umgehenden Update, auch wenn derzeit keine aktiven Angriffe auf diese Lücken bekannt sind. Zu befürchten sei desweiteren, dass zahlreiche Smartphones und Tablets von den Lücken betroffen sind.

    Einstufung

    Allgemein ist das jetzige Auftauchen der Lücken allerdings kein neuer Hinweis auf die schlechte Sicherheitssituation rund um OpenSSL. Viel mehr scheinen nach Heartbleed mittlerweile verstärkt externe Firmen nach Lücken suchen, um diese zu bereinigen. (red, derStandard.at, 5.6.2014)

    Share if you care.