Sicherheitsloch in Security-Bibliothek OpenSSL

Nach einem Security Advisory von OpenSSL weisen die aktuellen Versionen der Sicherheitsbibiliothek OpenSSL mehrere Schwachstellen auf, die Buffer Overflows ermöglichen. OpenSSL ist eine Open-Source-Variante der Bibliotheken zur Implementation von Secure Socket Layer, die beispielsweise eine verschlüsselte Kommunikation zwichen Webbrowser und Webserver ermöglichen. OpenSSL unterstützt SSL2, SSL3 und TLS (Transport Layer Security).

Betroffen von den Schwachstellen sind die OpenSSL-Versionen 0.9.6d und darunter, 0.9.7-beta2 und darunter sowie die Entwickler-Snapshots der Version 0.9.7, sowohl im Client- als auch im Server-Betrieb. 0.9.6d-Server auf 32-Bit-Systemen mit deaktiviertem SSL 2.0 sind nicht anfällig. Momentan ist den Entwicklern kein Exploit-Code bekannt, der Angreifern zu einer Ausnutzung des Lecks verhelfen könnte. Die Consulting Firma Neohapsis hat allerdings intern nachgewiesen, dass ein Exploit möglich wäre, heißt es bei den OpenSSL-Entwicklern. Durch einen zu langen Client-Master-Key etwa kann ein Buffer Overflow ausgelöst werden und das System kompromittieren. Die Entwickler raten dringend, Patches von der OpenSSL-Website einzuspielen, Nutzer der Version 0.9.6d können ihre Software auch zu Version 0.9.6e aktualisieren. (pab)