Neue OpenSSL-Version behebt zwei Schwachstellen
Die Schwachstellen lassen sich zum Aufbauen unsicherer Verbindungen und zum unautorisierten Verbindungsaufbau missbrauchen.
- Daniel Bachfeld
Version 1.0.0.c der freien SSL-Implementierung OpenSSL beseitigt zwei Schwachstellen. Ein Fehler in einem älterem Workaround für Netscape-Browser und -Server lässt sich aus der Ferne ausnutzen, um einen OpenSSL-Server bei weiteren Verbindungen zur Aushandlung einer schwachen Ciphersuite zu bringen. Das könnte das Aufbrechen einer verschlüsselten Verbindung unter Umständen vereinfachen. Im Update wurde nun der Workaround einfach deaktiviert.
Darüberhinaus ermöglicht ein Fehler in der Umsetzung des "Password Authenticated Key Exchange by Juggling"-Protokolls (J-PAKE, PDF), sich ohne Kenntnis eines geheimen Keys zu legitimieren. Der Fehler ist in der aktuellen Version zwar behoben, die Entwickler weisen aber daraufhin, dass ihre Implementierung noch experimentell ist und standardmäßig nicht übersetzt wird.
(dab)
