Admins sollten die aktuelle Version 1.1.0c der Krypto-Bibliothek
OpenSSL installieren, da die vorherigen Versionen verwundbar sind.
Als kritisch wird keine der Sicherheitslücken eingestuft. Das
OpenSSL-Team
stuft die gefährlichste Schwachstelle mit dem Bedrohungsgrad
hoch ein.
Die erste Lücke (CVE-2016-7054) klafft nur in OpenSSL 1.1.0.
Eine TLS-Verbindung ist Voraussetzung für einen erfolgreichen
Übergriff, die auf Poly1305 und ChaCha20 fußt. Anschließend
soll der Angreifer durch Manipulation von Daten eine DoS-Attacke
auslösen und so OpenSSL crashen lassen können.
OpenSSL 1.1.0 ist ebenfalls alleinig von der zweiten Schwachstelle
(CVE-2016-7053) betroffen. Der Bedrohungsgrad wird als moderat eingestuft.
Durch den Umgang von OpenSSL mit ASN.1 können Anwendungen aufgrund
eines Bugs abstürzen.
Die dritte Lücke (CVE-2016-7055) existiert seit OpenSSL
1.0.2. Im Zuge der Montgomery-Multiplikation kann es zu Fehlern
kommen. Es soll allerdings nicht möglich sein Schlüssel
zu attackieren. Das erfolgreiche Ausnutzen kann für eine vorübergehende
Authentifikation genutzt werden. Eingestuft wurde der Bedrohungsrad
mit niedrig. Übergriffe hält das OpenSSL-Team durch diese
Lücke für unwahrscheinlich. Aus diesem Grund gibt es aktuell
auch noch keine aktualisierte Version 1.0.2.
Die Sicherheitswarnung des OpenSSL-Teams verschweigt, wie Angreifer
die Lücken im Detail ausnutzen können. Zusätzlich
weisen Sie nochmals darauf hin, dass am 31. Dezember 2016 der Support
für Version 1.0.1 ausläuft. Anschließend wird es
keine Sicherheitsupdates mehr für diesen Versionsstrang geben.
Spätestens zu diesem Zeitpunkt sollte eine aktuellere Version
eingespielt werden.
(ms, hannover)
(siehe auch heise-News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|