Sicherheitsupdate: Lücke in OpenSSL macht Server für DoS-Attacken anfällig
Angreifer könnten Clients und Server mit OpenSSL attackieren. Das Sicherheitsrisiko gilt als hoch.
Admins, die OpenSSL einsetzen, sollten die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls könnten Angreifer zwei Sicherheitslücken ausnutzen.
OpenSSL ist eine freie Software zur Implementierung von Netzwerkprotokollen und TLS-Verschlüsselung.
Die zwei Schwachstellen (CVE-2021-3449, CVE-2021-3450) gefährden ausschließlich die Versionen 1.1.1 bis 1.1.1j. Die Ausgabe 1.1.1k ist abgesichert. Beide Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft.
Nutzen Angreifer die Schwachstellen erfolgreich aus, könnten sie aufgrund einer unzureichenden Prüfung Zertifikate manipulieren. Außerdem ist es vorstellbar, dass sie Server in den Standardeinstellungen (TLS 1.2, Renegotation) mit einer präparierten ClientHello-Nachricht via DoS-Attacke aus dem Verkehr ziehen. Davor warnen die Entwickler im Sicherheitsbereich ihrer Website.
(des)