Mit einem neuen Release haben die Entwickler von OpenSSL insgesamt sieben verschiedene Sicherheitslücken in ihrer Software gestopft. Eine Lücke ermöglichte einen sogenannten Logjam-Angriff auf OpenSSL. Damit ist eine Zurückstufung des Diffie-Hellman-Schlüsselaustausches auf ein unsicheres Niveau durch einen Man-in-the-Middle möglich.

Die neuen OpenSSL-Versionen setzen Diffie-Hellman mit 768 Bit voraus, um dies zu verhindern. Dies soll in einer späteren Version der Software dann noch einmal auf 1024 Bit erhöht werden.

Die übrigen sechs Lücken werden von den Entwicklern als moderates oder niedriges Risiko eingeschätzt. Überwiegend handelte es sich dabei um Speicherverarbeitungsprobleme, die die Software zu einem Absturz bringen können. Außerdem wurden mehrere Fehler behoben, durch die der OpenSSL-Prozess nicht mehr ansprechbar war.

Von der Webseite des Projektes können die neuen OpenSSL-Versionen heruntergeladen werden. Die Systeme sollten je nach eingesetztem Entwicklungszweig auf OpenSSL 1.0.1n, 1.0.0s, 1.0.2b oder 0.9.8zg aktualisiert werden.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE