OpenSSL: Neue Version 1.1.1g schließt Denial-of-Service-Lücke
Die aktuelle Version der Kryptobibliothek schließt eine Sicherheitslücke, von der laut Entwicklern ein hohes Risiko ausgeht.
Über eine Sicherheitslücke könnten Angreifer Anwendungen, die die Kryptobibliothek OpenSSL nutzen, zum Absturz bringen. Nun steht ein Update für OpenSSL bereit: Version 1.1.1g schließt die Lücke, deren Schweregrad das Entwicklerteam als "High" eingestuft hat.
Ein OpenSSL Security Advisory zu CVE-2020-1967 nennt technische Details zu der Lücke, die im Zuge eines TLS-1.3-Handshakes unter Übergabe speziell präparierter Daten an die Funktion SSL_check_chain() für Denial-of-Service-Angriffe ausgenutzt werden kann.
Als verwundbar wird im Advisory die Versionsreihe 1.1.1x ab einschließlich 1.1.1d aufwärts genannt. Nutzer älterer, nicht mehr unterstützter Versionen (1.0.2, 1.1.0) sollten – obgleich von dieser Lücke nicht betroffen – grundsätzlich auf 1.1.1(g) umsteigen.
Update auf 1.1.1g
Download-Quellen für die aktuelle Version nennt OpenSSL auf einer Übersichtsseite. Linux- und BSD-Nutzer sollten nach Hinweisen zu betroffenen Versionen und Updates beziehungsweise aktualisierten OpenSSL-Packages Ausschau halten, die CVE-2020-1967 beseitigen. In einigen Fällen sind bereits entsprechende Informationen verfügbar:
- Arch Linux
- Debian Security Advisory
- FreeBSD: OpenSSL remote denial of service vulnerability
- Red Hat Advisory
- SUSE Linux
(ovw)