OpenSSL: Neue Version 1.1.1g schließt Denial-of-Service-Lücke
Die aktuelle Version der Kryptobibliothek schließt eine Sicherheitslücke, von der laut Entwicklern ein hohes Risiko ausgeht.
![OpenSSL: Neue Version schließt Denial-of-Service-Lücke](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/8/8/2/9/7/7/Screenshot-_201_-8decab209e25d621.png)
(Bild: openssl.org)
Über eine Sicherheitslücke könnten Angreifer Anwendungen, die die Kryptobibliothek OpenSSL nutzen, zum Absturz bringen. Nun steht ein Update für OpenSSL bereit: Version 1.1.1g schließt die Lücke, deren Schweregrad das Entwicklerteam als "High" eingestuft hat.
Ein OpenSSL Security Advisory zu CVE-2020-1967 nennt technische Details zu der Lücke, die im Zuge eines TLS-1.3-Handshakes unter Übergabe speziell präparierter Daten an die Funktion SSL_check_chain() für Denial-of-Service-Angriffe ausgenutzt werden kann.
Als verwundbar wird im Advisory die Versionsreihe 1.1.1x ab einschließlich 1.1.1d aufwärts genannt. Nutzer älterer, nicht mehr unterstützter Versionen (1.0.2, 1.1.0) sollten – obgleich von dieser Lücke nicht betroffen – grundsätzlich auf 1.1.1(g) umsteigen.
Update auf 1.1.1g
Download-Quellen für die aktuelle Version nennt OpenSSL auf einer Übersichtsseite. Linux- und BSD-Nutzer sollten nach Hinweisen zu betroffenen Versionen und Updates beziehungsweise aktualisierten OpenSSL-Packages Ausschau halten, die CVE-2020-1967 beseitigen. In einigen Fällen sind bereits entsprechende Informationen verfügbar:
- Arch Linux
- Debian Security Advisory
- FreeBSD: OpenSSL remote denial of service vulnerability
- Red Hat Advisory
- SUSE Linux
(ovw)