Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News

Admins sollten die aktuelle Version 1.1.0c der Krypto-Bibliothek OpenSSL installieren, da die vorherigen Versionen verwundbar sind. Als kritisch wird keine der Sicherheitslücken eingestuft. Das OpenSSL-Team stuft die gefährlichste Schwachstelle mit dem Bedrohungsgrad hoch ein.

Die erste Lücke (CVE-2016-7054) klafft nur in OpenSSL 1.1.0. Eine TLS-Verbindung ist Voraussetzung für einen erfolgreichen Übergriff, die auf Poly1305 und ChaCha20 fußt. Anschließend soll der Angreifer durch Manipulation von Daten eine DoS-Attacke auslösen und so OpenSSL crashen lassen können.

OpenSSL 1.1.0 ist ebenfalls alleinig von der zweiten Schwachstelle (CVE-2016-7053) betroffen. Der Bedrohungsgrad wird als moderat eingestuft. Durch den Umgang von OpenSSL mit ASN.1 können Anwendungen aufgrund eines Bugs abstürzen.

Die dritte Lücke (CVE-2016-7055) existiert seit OpenSSL 1.0.2. Im Zuge der Montgomery-Multiplikation kann es zu Fehlern kommen. Es soll allerdings nicht möglich sein Schlüssel zu attackieren. Das erfolgreiche Ausnutzen kann für eine vorübergehende Authentifikation genutzt werden. Eingestuft wurde der Bedrohungsrad mit niedrig. Übergriffe hält das OpenSSL-Team durch diese Lücke für unwahrscheinlich. Aus diesem Grund gibt es aktuell auch noch keine aktualisierte Version 1.0.2.

Die Sicherheitswarnung des OpenSSL-Teams verschweigt, wie Angreifer die Lücken im Detail ausnutzen können. Zusätzlich weisen Sie nochmals darauf hin, dass am 31. Dezember 2016 der Support für Version 1.0.1 ausläuft. Anschließend wird es keine Sicherheitsupdates mehr für diesen Versionsstrang geben. Spätestens zu diesem Zeitpunkt sollte eine aktuellere Version eingespielt werden.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE