Sicherheitslücke in DTLS-Implementierung von OpenSSL
Das Problem wurde mit einer neuen Version der Verschlüsselungsbibliothek behoben, doch kaum eine Anwendung ist von der Schwachstelle tatsächlich betroffen.
Die OpenSSL-Entwickler haben in der neuen Version 0.9.8f ihrer Verschlüsselungsbibliothek eine kritische Sicherheitslücke bei der Bearbeitung von DTLS-Verbindungen behoben. Durch sie können die Angreifer übers Netz unter Umständen beliebigen Schadcode einschleusen und verwundbare Systeme unter ihre Kontrolle bringen. DTLS steht für "Datagram TLS" und bezeichnet eine TLS-Variante für das UDP-Protokoll. Reguläre TLS- und SSL-Anwendungen basieren jedoch auf TCP und sind von dem Problem nicht betroffen.
Als von der IETF propagierter Standard für die Verbindungsverschlüsselung in der Internettelefonie dürfte DTLS in Zukunft eine wichtige Bedeutung erlangen. Auch in anderen Bereichen, etwa bei Media-Streaming und Gaming-Servern, sind eine Vielzahl von DTLS-Anwendungen zu erwarten. Doch bislang gibt es kaum Produkte, die DTLS unterstützen. Der Linux-Distributor Red Hat beispielsweise sah sich in seinem OpenSSL-Advisory zu dem Hinweis genötigt, dass zurzeit keines der von ihm bereitgestellten Pakete DTLS einsetzt.
Siehe dazu auch:
- OpenSSL Security Advisory [12-Oct-2007], Hinweise der Entwickler zur neuen Version
(cr)
