Sicherheitsupdate: OpenSSL kann crashen und sich verrechnen
Über drei Schwachstellen können Angreifer OpenSSL attackieren. Davon ist vor allem Version 1.1.0 betroffen. Eine abgesicherte Ausgabe steht zum Download bereit.
Die Krypto-Bibliothek OpenSSL ist verwundbar und Admins sollten die aktuelle Version 1.1.0c installieren. Keine Sicherheitslücke gilt als kritisch, die gefährlichste Schwachstelle stuft das OpenSSL-Team mit dem Bedrohungsgrad hoch ein.
Diese Lücke (CVE-2016-7054) klafft ausschließlich in OpenSSL 1.1.0. Voraussetzung für einen erfolgreichen Übergriff ist eine TLS-Verbindung, die auf ChaCha20 und Poly1305 fußt. Ist das der Fall, soll ein Angreifer durch Manipulation von Daten eine DoS-Attacke auslösen können und so OpenSSL crashen lassen.
Auch die zweite Schwachstelle (CVE-2016-7053) betrifft alleinig OpenSSL 1.1.0. Der Bedrohungsgrad gilt als moderat. Aufgrund eines Bugs im Umgang von OpenSSL mit ASN.1 können Anwendungen abstürzen.
Die letzte Lücke (CVE-2016-7055) klafft in OpenSSL bis hinunter zu Version 1.0.2. Dabei kann es im Zuge der Montgomery-Multiplikation zu Fehlern kommen. Attacken auf Schlüssel sollen aber nicht möglich sein. Ein erfolgreiches Ausnutzen kann etwa zu einer vorübergehenden Authentifikation führen. Der Bedrohungsrad ist mit niedrig eingestuft: das OpenSSL-Team hält Übergriffe für unwahrscheinlich. Aufgrund dessen gibt es aktuell auch noch keine aktualisierte Version 1.0.2.
Support-Ende für OpenSSL 1.0.1
Wie Angreifer die Lücken im Detail ausnutzen könne, verschweigt die Sicherheitswarnung des OpenSSL-Teams. Sie weisen nochmals darauf hin, dass der Support für den Versionsstrang 1.0.1 am 31. Dezember 2016 ausläuft und es ab da keine Sicherheitsupdates mehr gibt. Wer diese Version einsetzt, sollte spätestens zu diesem Zeitpunkt eine aktuellere einspielen. (des)
