Die ersten OpenSSL-Updates des Jahres stehen an
Die Entwickler der besonders auf Linux oft genutzten Kryptobibliothek OpenSSL haben eine Reihe von Lücken geschlossen. Updates stehen für drei Entwicklungszweige der Software bereit.
- Fabian A. Scherschel
Das OpenSSL-Team hat acht Sicherheitslücken in der Kryptobibliothek geschlossen und entsprechende Updates veröffentlicht. Das Risiko von zwei Lücken bewerten sie als moderat; sie können genutzt werden, um Server lahmzulegen. Von den anderen Lücken geht laut den Entwicklern eine niedrige Gefahr aus.
Eine der Lücken kann dazu führen, dass ein Server einem Client eine Verbindung aufzwingt, bei der der Schlüsselaustausch mit ECDH statt dem ECDHE-Verfahren stattfindet – was zum Verlust von Forward Secrecy führt (CVE-2014-3572). Das führte bei einigen Lesern bereits zu Aufregung, ist Forward Secrecy doch eine sehr wichtige Eigenschaft. Doch erstens betrifft es nur korrekt authentifizierte Verbindungen, ist also nicht für Angriffe durch Dritte geeignet. Und zweitens funktioniert der Angriff nur mit ECDSA-Zertifikaten, die kaum verbreitet sind. Die Risikobewertung "Low" geht also durchaus in Ordnung. In einem weiteren Fall kann sich ein Client ohne privaten Schlüssel am Server anmelden, was allerdings nur bei einer Konfiguration des Servers der Fall ist, die laut der OpenSSL-Entwickler "praktisch nicht anzutreffen" ist (CVE-2015-0205).
Die Entwickler haben die Lücken in den Versionen 1.0.1k, 1.0.0p und 0.9.8zd geschlossen. Quellcode für die Updates kann auf der Webseite des OpenSSL-Projektes heruntergeladen werden. (fab)
