Sicherheitsupdate: Angriff auf Lücke in OpenSSL kann Client und Server abstürzen lassen
Unter bestimmten Voraussetzungen können Angreifer Geräte, die OpenSSL 1.1.0 einsetzen, mit einer DoS-Attacke malträtieren.
OpenSSL ist in der Version 1.1.0 verwundbar. Die Entwickler stufen das von der Sicherheitslücke ausgehende Risiko mit "hoch" ein. OpenSSL 1.0.2 soll davon nicht bedroht sein. Die abgesicherte Version 1.1.0e steht zum Download bereit.
Nutzt ein Angreifer die Lücke (CVE-2017-3733) aus, soll er Clients und Server abstürzen lassen können. Ein Übergriff soll aus der Ferne und ohne Authentifizierung möglich sein. Das ist der Sicherheitswarnung zufolge aber nur möglich, wenn ein Angreifer anfangs eine SSL-Verbindung ohne die Encrypt-then-Mac-Erweiterung aushandelt. Für einen erfolgreichen Übergriff muss er dann beim Handshake einer neuen Verbindung die Erweiterung einsetzen. (des)