zurück zum Artikel

Entwickler von IBM haben in einer Komponente des Serverbetriebssystems AIX zwei Sicherheitslücken geschlossen.

Unter bestimmten Voraussetzungen könnten Angreifer verschlüsselte TLS-Verbindungen auf IBM-Servern mit dem AIX-System aufbrechen. Nun hat IBM aktualisierte Versionen veröffentlicht.

Seit Dezember 2020 ist bekannt [1], dass die Krpytographie-Software zum verschlüsselten Datenaustausch via TLS OpenSSL verwundbar ist. In der Version 1.1.1i haben die OpenSSL-Entwickler eine mit dem Bedrohungsgrad "hoch" eingestufte Sicherheitslücke (CVE-2020-1971) geschlossen.

Zwei Lücken

Angreifer könnten die fehlerhafte Funktion GENERAL_NAME_cmp zum Vergleichen von X509-Namen benutzen, um die Software via DoS-Attacke abstürzen zu lassen. Aus einer Warnmeldung von IBM geht hervor [2], dass in der reparierten und in AIX implementierten OpenSSL-Ausgabe noch eine Schwachstelle (CVE-2020-1968) geschlossen wurde.

Setzen entfernte Angreifer erfolgreich an der Lücke an, könnten sie mittels einer Timing-Attacke namens Racoon Attack [3] TLS-Verbindungen aufbrechen und übertragene Daten mitlesen. Das klingt fatal, ist aber nur mit dem Bedrohungsgrad "niedrig" eingestuft. Diese Timing-Attacke ist nicht ohne Weiteres und nur mit viel Aufwand auszuführen.

In der Warnmeldung [4] listet IBM die abgesicherten AIX-Versionen auf. Dort findet man auch Hinweise zur Installation.

[5]

(des [6])

URL dieses Artikels:
https://www.heise.de/-5047438

Links in diesem Artikel:
[1] https://www.heise.de/news/OpenSSL-behebt-Speicherfehler-4985050.html
[2] https://www.ibm.com/support/pages/node/6410550
[3] https://raccoon-attack.com/
[4] https://www.ibm.com/support/pages/node/6410550
[5] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:des@heise.de

Copyright © 2021 Heise Medien