zurück zum Artikel

Sicherheitslücke bei SSL-Bibiliotheken

Patrick Brauch

Schweizer Wissenschaftler haben eine seit längerem bekannte theoretische Attacke gegen SSL -- Standardverfahren zur Absicherung von Online-Banking und e-Commerce -- jetzt praktisch nachgewiesen.

Schweizer Wissenschaftler haben für eine seit längerem bekannte theoretische Attacke gegen SSL [1] -- Standardverfahren zur Absicherung beispielsweise von Online-Banking und E-Commerce -- die praktische Durchführbarkeit nachgewisen. Die neue OpenSSL-Versionen 0.9.6i und 0.9.7a beheben das Problem allerdings bereits.

Der so genannte "Vaudenay timing attack on CBC [2]" beruht auf dem zeitlichen Antwortverhalten eines SSL-Servers, wenn dieser gefälschte Pakete erhält: Anhand der Verzögerung der Fehlermeldungen vom Server lassen sich gewisse Rückschlüsse auf die erwarteten Inhalte der Pakete ziehen.

Die Schweizer Kryptoexperten vom Security and Cryptography Laboratory (LASEC [3]) haben mit Outlook Express 6 und einem IMAP4-Server nachgewiesen [4], dass sich sensitive Daten wie Username und Passwort binnen einer Stunde herausfinden lassen. Allerdings bedarf es dazu eines recht großen Aufwands, denn der Angriff beruht auf einer Man-in-the-Middle-Attacke; der Angreifer muss in der Lage sein, sich zwischen die Verbindung eines SSL-Servers und -Clients zu hängen.

Die OpenSSL-Entwickler haben bereits reagiert und mit OpenSSL 0.9.7a beziehungsweise 0.9.6i Versionen herausgebracht, die die Sicherheitslücke stopfen. Sie empfehlen in einem Bugtraq-Posting allen Anwendern, ihr OpenSSL auf diese Versionen zu aktualisieren, die auf den Download-Seiten von OpenSSL bereitliegen [5].

LASEC sieht durch den praktischen Nachweis der Schwachstelle eine Gefahr für viele Anwendungen wie Online-Banking oder Online-Shops, da SSL bei vielen Client- und Server-Produkten ein fest einkompiliertes Modul ist und sich nicht so einfach wie bei den OpenSSL-Bibiliotheken aktualisieren lässt. (pab)

URL dieses Artikels:
https://www.heise.de/-74999

Links in diesem Artikel:
[1] http://www.openssl.org/related/ssl.html
[2] http://lasecwww.epfl.ch/php_code/publications/search.php?ref=Vau02a
[3] http://lasecwww.epfl.ch/
[4] http://lasecwww.epfl.ch/memo_ssl.shtml
[5] http://www.openssl.org/source/

Copyright © 2003 Heise Medien