IBM aktualisiert sein AIX-System mit abgesicherter OpenSSL-Version
Entwickler von IBM haben in einer Komponente des Serverbetriebssystems AIX zwei Sicherheitslücken geschlossen.
![](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/3/0/5/2/1/1/9/shutterstock_1504494320-f02d190d85cd3b50.jpeg)
(Bild: Artur Szczybylo/Shutterstock.com)
Unter bestimmten Voraussetzungen könnten Angreifer verschlüsselte TLS-Verbindungen auf IBM-Servern mit dem AIX-System aufbrechen. Nun hat IBM aktualisierte Versionen veröffentlicht.
Seit Dezember 2020 ist bekannt, dass die Krpytographie-Software zum verschlüsselten Datenaustausch via TLS OpenSSL verwundbar ist. In der Version 1.1.1i haben die OpenSSL-Entwickler eine mit dem Bedrohungsgrad "hoch" eingestufte Sicherheitslücke (CVE-2020-1971) geschlossen.
Zwei Lücken
Angreifer könnten die fehlerhafte Funktion GENERAL_NAME_cmp
zum Vergleichen von X509-Namen benutzen, um die Software via DoS-Attacke abstürzen zu lassen. Aus einer Warnmeldung von IBM geht hervor, dass in der reparierten und in AIX implementierten OpenSSL-Ausgabe noch eine Schwachstelle (CVE-2020-1968) geschlossen wurde.
Setzen entfernte Angreifer erfolgreich an der Lücke an, könnten sie mittels einer Timing-Attacke namens Racoon Attack TLS-Verbindungen aufbrechen und übertragene Daten mitlesen. Das klingt fatal, ist aber nur mit dem Bedrohungsgrad "niedrig" eingestuft. Diese Timing-Attacke ist nicht ohne Weiteres und nur mit viel Aufwand auszuführen.
In der Warnmeldung listet IBM die abgesicherten AIX-Versionen auf. Dort findet man auch Hinweise zur Installation.
(des)