Sechs Sicherheitsmängel in OpenSSL gefixt

OpenSSL hat sechs sicherheitsrelevante Probleme mit den Versionen 1.0.0f und 0.9.8s gelöst. Drei der Fixes behandeln Fehler in der Verschlüsselungstechnik, die anderen beheben Lücken, die Denial-of-Service-Attacken ermöglichen.

Unter anderem haben die Entwickler eine kritische Schwachstelle des "Cipher-Block-Chaining-Mode"-Verfahrens (CBC) beseitigt. Beim CBC geht es darum, Textblöcke zusätzlich zum Schlüssel mit dem jeweils vorher erzeugten Geheimtextblock zu verknüpfen und zu verschlüsseln. Erst vor einigen Monaten hatten Forscher eine Schwachstelle in diesem Verfahren entdeckt. Zwei Sicherheitsspezialisten haben eine Möglichkeit gefunden, die darauf angewendete "Padding Oracle Attacke" zu erweitern, was allerdings nur DTLS (TLS über UDP) betrifft.

Auch Speicherprobleme sorgten wieder für Sicherheitslücken. Nicht initialisierter Speicher bei SSL 3.0 führt dazu, dass in jedem Datensatz sensible Daten enthalten sein könnten, wenn diese vorher nicht gelöscht wurden. TLS sei davon nicht betroffen, so die Entwickler. Version 1.0.0f und 0.9.8s beinhalten auch Updates gegen Lücken, die einem Angreifer erlauben, DoS-Attacken durchzuführen. (dta)