OpenSSL liefert Freak-Update
Mit neuen Versionen der Kryptobibliothek OpenSSL schlieĂźt das Team des Open-Source-Projektes eine ganze Reihe von Schwachstellen; darunter auch die Freak-LĂĽcke. Admins sollten die Updates umgehend einspielen.
OpenSSL-Nutzer aufgepasst: In der besonders auf Linux-Systemen eingesetzten Kryptobibliothek OpenSSL klaffen zahlreiche Schwachstellen; zwei davon stuft das Entwickler-Team mit einem hohen Sicherheitsrisiko ein. Die vier neuen Versionen 1.0.2a, 1.0.1m, 1.0.0r und 0.9.8zf stopfen die LĂĽcken und stehen ab sofort zum Download bereit.
Auf der Webseite des Open-Source-Projektes spricht das Team von zwölf Sicherheitslücken. In der ausführlichen Fehler-Auflistung finden sich jedoch 14 Schwachstellen mit eigener CVE-Nummer. Eine Antwort auf eine entsprechende Anfrage steht noch aus.
Eine kritische Lücke soll Server für Denial-of-Service-Attacken (DoS) anfällig machen. Die zweite gefährliche Schwachstelle betrifft das Angriffsszenario Freak (Factoring attack on RSA-EXPORT Keys), bei dem Angreifer einem Webbrowser schwache Zertifikate unterjubeln können. Das Risiko der restlichen Lücken stufen die Verantwortlichen als moderat bis niedrig ein.
Weiterhin teilt das OpenSSL-Team mit, dass sie den Support für die Versionen 1.0.0 und 0.9.8 am 31. Dezember dieses Jahres einstellen wollen. Nutzer dieser Versionen sollten spätestens zu diesem Zeitpunkt über eine Aktualisierung nachdenken.
[Update 19.03.2015 22:20]
Die Diskrepanz zwischen den genannten zwölf Sicherheitslücken und den 14 Schwachstellen in der Fehler-Auflistung lässt sich wie folgt erklären: Die Freak-Sicherheitslücke (CVE-2015-0204) wurde bereits im OpenSSL-Update im Januar dieses Jahres gefixt. In der aktuellen Fehler-Auflistung taucht die Aktualisierung aufgrund des erhöht eingestuften Sicherheitsrisikos nochmals auf. Zudem war die Schwachstelle mit der Bezeichnung CVE-2015-0292 schon länger bekannt, hielt aber erst jetzt Einzug in die Fehler-Auflistung. (des)