OpenSSL bekommt "moderate" Sicherheitsupdates

Das OpenSSL-Team hat verschiedene, abgesicherte Versionen veröffentlicht. In einer Sicherheitswarnung stufen sie den Schweregrad von drei Lücken als moderat und von einer Schwachstelle als niedrig ein.

Das CERT Bund schätzt das von den Lücken ausgehende Risiko als niedrig ein. Im schlimmsten Fall könnten Angreifer durch Ausnutzen einer Schwachstelle Geräte per DoS-Angriff lahmlegen.

Voraussetzungen für Übergriffe

Die Lücke mit der Kennung CVE-2017-3731 soll ausschließlich SSL-/TLS-Server auf 32-Bit-Hosts gefährden und das auch nur, wenn bei OpenSSL 1.1.0 Chacha20/Poly1305 und bei OpenSSL 1.0.2 RC4-MD5 zum Einsatz kommt. Dann sollen Angreifer Server mittels präparierter Pakete zum Erliegen bringen können. Die absicherten Ausgaben 1.1.0d und 1.0.2k schaffen Abhilfe.

Mittels einem selbst aufgesetzten Server können Angreifer Clients durch Ausnutzen einer weiteren Schwachstelle (CVE-2017-3730) lahmlegen. Dafür müssen sie bei einem Schlüsseltausch nach Diffie Hellman (DHE) oder Elliptic Curve Diffie Hellman (ECDH) bestimmte Parameter übermitteln. Das soll ausschließlich OpenSSL 1.1.0 betreffen.

Die letzte mit dem Bedrohungsgrad moderat eingestufte Lücke (CVE-2017-3732) findet sich in Montgomery-Berechnungen. Ein Angriff soll aber sehr komplex sein und viel Ressourcen einfordern. In OpenSSL 1.1.0d und 1.0.2k ist die Lücke geschlossen.

Auch die Schwachstelle mit der Kennung CVE-2016-7055 betrifft die Montgomery-Multipliaktion und wurde bereits in Version 1.1.0c geschlossen. Nun gibt es den Fix auch in der OpenSSL-Ausgabe 1.0.2k

Kein Support mehr für OpenSSL 1.0.1

Das OpenSSL-Team weist darauf hin, dass der Support für Version 1.0.1 am 31. Dezember 2016 ausgelaufen ist. Der Versionsstrang erhält keine Sicherheitsupdates mehr. (des)