zurück zum Artikel

Entwickler von IBM haben in einer Komponente des Serverbetriebssystems AIX zwei Sicherheitslücken geschlossen.

Unter bestimmten Voraussetzungen könnten Angreifer verschlüsselte TLS-Verbindungen auf IBM-Servern mit dem AIX-System aufbrechen. Nun hat IBM aktualisierte Versionen veröffentlicht.

Seit Dezember 2020 ist bekannt [1], dass die Krpytographie-Software zum verschlüsselten Datenaustausch via TLS OpenSSL verwundbar ist. In der Version 1.1.1i haben die OpenSSL-Entwickler eine mit dem Bedrohungsgrad "hoch" eingestufte Sicherheitslücke (CVE-2020-1971) geschlossen.

Zwei Lücken

Angreifer könnten die fehlerhafte Funktion GENERAL_NAME_cmp zum Vergleichen von X509-Namen benutzen, um die Software via DoS-Attacke abstürzen zu lassen. Aus einer Warnmeldung von IBM geht hervor [2], dass in der reparierten und in AIX implementierten OpenSSL-Ausgabe noch eine Schwachstelle (CVE-2020-1968) geschlossen wurde.

Setzen entfernte Angreifer erfolgreich an der Lücke an, könnten sie mittels einer Timing-Attacke namens Racoon Attack [3] TLS-Verbindungen aufbrechen und übertragene Daten mitlesen. Das klingt fatal, ist aber nur mit dem Bedrohungsgrad "niedrig" eingestuft. Diese Timing-Attacke ist nicht ohne Weiteres und nur mit viel Aufwand auszuführen.

In der Warnmeldung [4] listet IBM die abgesicherten AIX-Versionen auf. Dort findet man auch Hinweise zur Installation.

(des [5])

URL dieses Artikels:
https://www.heise.de/-5047438

Links in diesem Artikel:
[1] https://www.heise.de/news/OpenSSL-behebt-Speicherfehler-4985050.html
[2] https://www.ibm.com/support/pages/node/6410550
[3] https://raccoon-attack.com/
[4] https://www.ibm.com/support/pages/node/6410550
[5] mailto:des@heise.de

Copyright © 2021 Heise Medien