Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate

10.07.2015

 zur Newsdatenbank home

Wie angekündigt haben die Entwickler der Kryptobibliothek OpenSSL in ihrer Software eine kritische Lücke (CVE-2015-1793) geflickt. Demnach prüft unter bestimmten Umständen OpenSSL das CA-Flag eines Zertifikats nicht richtig, was dazu führen kann, dass sich ein Angreifer als Intermediate-CA ausgeben und für die Webseiten anderer Betreiber eigene Zertifikate signieren kann. Er könnte sich damit dann zum Beispiel als die Hausbank des Opfers ausgeben.

Eigentlich muss der Client in der Prüfung eines Server-Zertifikates die gesamte Zertifikatskette zurückgehen und überprüfen, ob jedes unterschreibende Zertifikat die Berechtigung, welche durch die sogenannte CA-Flag geregelt wird, hat Zertifikate auszustellen. Angreifbare OpenSSL-Versionen prüfen aber unter bestimmten Umständen die Kette nicht richtig, so dass ein Besitzer jedes gültigen Zertifikates ein Zertifikat für eine beliebige Webseite (etwa meinebank.de) unterschreiben kann. Ein Angreifer muss, um den Bug auszulösen, wohl bei seinem Ziel dafür sorgen, dass die Prüfung der ersten Zertifikatskette fehlschlägt – die Schwachstelle greift dann beim zweiten Versuch mit einer Alternativ-Kette. Offenbar wurde der anfällige Code für die Prüfung weiterer Zertifikats-Ketten erst im Januar in OpenSSL eingefügt.

Die Lücke erscheint jedoch bei näherer Betrachtung nicht mehr ganz so dramatisch wie es zunächst den Anschein hat. Da Client-Zertifikate nur in Ausnahmen zum Einsatz kommen, sind Server, also das Haupteinsatzgebiet von OpenSSL, eher weniger von der Lücke betroffen und bei Clients ist die Angriffsfläche, da dort nur selten OpenSSL zum Einsatz kommt, ebenfalls kaum vorhanden. Der Internet Explorer verwendet die Krypto-Infrastruktur von Windows und Firefox nutzt Mozillas NSS-Bibliothek. Chrome verhält sich ähnlich oder benutzt Googles OpenSSL-Fork BoringSSL, was auch bei aktuellen Android-Versionen zum Einsatz kommt. Weder das OpenSSL auf älteren Android-Versionen noch BoringSSL haben die Lücke geerbt. Jedenfalls gibt Adam Langley, der die OpenSSL-Lücke mit entdeckt hatte und das BoringSSL-Team leitet, das auf Twitter zu Protokoll. Da iOS ebenfalls nicht auf OpenSSL setzt, bleiben nicht allzu viele anfällige Client-Applikationen.

Die OpenSSL-Versionen 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o sind betroffen. Auf der Webseite des OpenSSL-Projektes können die ausgebesserten Versionen (1.0.2d und 1.0.1p) heruntergeladen werden. Diese Art von Bug ist übrigens nicht ganz neu, da Apple vor einigen Jahren ein sehr ähnliches Problem mit iOS hatte.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89