Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Verschlüsselung: OpenSSL fixt kritische Sicherheitslücke

29.01.2016

 zur Newsdatenbank home

Die OpenSSL-Version 1.0.2 ist für eine kritische, Angreifern das Entschlüsseln von TLS-gesicherten Verbindungen ermöglichende, Sicherheitslücke anfällig. Soeben veröffentlichte Sicherheits-Updates beseitigen darüber hinaus außerdem eine minderschwere Lücke, die auch 1.01 betrifft. Ab sofort stehen die fehlerbereinigten Versionen 1.0.1r und 1.0.2f zum Download bereit.

Der Schlüsselaustausch via Diffie Hellman (DH), für den OpenSSL traditionell einige wenige, bekanntermaßen sichere Primzahlen einsetzt, ist von der kritischen Lücke (CVE-2016-0701) betroffen. Seit Version 1.0.2 können jedoch auch eigene DH-Parameter, die dann auch individuelle Primzahlen enthalten, erzeugt werden. Openssl erzeugt dabei auch unsichere Primzahlen. Diese erlauben es einem Angreifer dann, den privaten DH-Exponenten, mit dem der ausgetauschte Schlüssel errechnet werden kann, zu ermittelen und somit die verschlüsselten Daten zu dechiffrieren.

Wenn die Option SSL_OP_SINGLE_DH_USE nicht gesetzt ist, wie es standardmäßig der Fall ist, wird das zum akuten Sicherheitsproblem. Ein Server-Prozess verwendet dann für seine gesamte Lebenszeit nämlich den gleichen DH-Exponenten. Also könnte ein Angreifer alle weiteren Verbindungen des Prozesses mit einem einmal ermittelten DH-Exponenten attackieren.

Es wird empfohlen, nach dem Upgrade auf die neue Version auch eventuell vorhandene DH-Parameter-Dateien durch neue zu ersetzen, da bisher nicht klar ist, welche Server-Applikationen von dem Problem betroffen sind.

Von dem minderschweren Problem ist die Unterstützung von SSLv2 (CVE-2015-3197) betroffen. Ein bösartiger Client kann eventuell schwache SSLv2-Verbindungen aushandeln, wenn ein Server es versäumt, dieses längst veraltete Protokoll explizit abzuschalten. Es reicht also keineswegs aus, etwa alle SSLv2-Cipher-Suiten zu verbieten.

OpenSSL soll nun zudem gegen die Logjam-Attacke noch besser abgesichert sein und ein Downgrade auf Diffie-Hellmann-Schlüsselaustausch mit weniger als 1024 Bit verhindern. Interessant ist außerdem, dass das OpenSSL-Team von der kritischen Lücke gemäß dem Security-Advisory erst am 12. Januar erfahren hat und Updates somit bereits nach wenig mehr als zwei Wochen bereitstellt.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89