OpenSSL: Neue Version schließt acht Sicherheitslücken

12. Jänner 2015, 09:57
posten

Probleme in der Kryptobibliothek allerdings nur mit niedrigem bis mittlerem Gefährdungsgrad

Die Prüfung des Quellcodes der Kryptopbibliothek OpenSSL im Gefolge des Bekanntwerdens der kritischen Sicherheitslücke "Heartbleed" schreitet voran. Mit einer neuen Version der Software schließt das Entwicklerteam nun insgesamt acht Sicherheitslücken in der Software.

Bugs

Kritische Problem finden sich darunter keine, bei allen wird die Gefährdung als "moderat" bis "niedrig" klassifiziert. Dies führte im Netz zunächst zu einiger Kritik, da sich auch ein Bug in der Liste findet, über den die Forward Secrecy von SSL-Verbindungen ausgetrickst werden kann. Wie heise.de allerdings korrekt herausstreicht, ist dies nur unter sehr eingeschränkten Bedingungen möglich.

Detail

So müsste ein Angreifer Teil der authentifizierten Verbindung sein, Dritte haben darauf keine Zugriff. Auch funktioniert das Ganze nur mit ECDSA-Zertifikaten, die vergleichsweise wenig verbreitete sind.

Update

Weiter Infos zu allen geschlossenen Lücken finden sich im offiziellen Security Advisory. Parallel dazu wurden neue Versionen der Software - OpenSSL 1.0.1k, 1.0.0p und 0.9.8zd - veröffentlicht, die alle die erwähnten Probleme beseitigen. Die meisten Linux-Distributionen haben mittlerweile bereits mit der Auslieferung entsprechender Updates begonnen. (red, derStandard.at, 12.1.2015)

Share if you care.