OpenSSL ist in der Version 1.1.0 verwundbar, Version 1.0.2 ist allerdings nicht betroffen. Das von der Sicherheitslücke ausgehende Risiko wird von den Entwicklern "hoch" eingestuft. Die abgesicherte Version 1.1.0e steht zum Download bereit.

Ein Angreifer soll, wenn er die Lücke (CVE-2017-3733) ausnutzt, Server und Clients abstürzen lassen können. Dieser Übergriff soll ohne Authentifizierung aus der Ferne möglich sein. Allerdings ist das der Sicherheitswarnung zufolge aber nur möglich, wenn anfangs eine SSL-Verbindung ohne die Encrypt-then-Mac-Erweiterung vom Angreifer ausgehandelt wird. Beim Handshake einer neuen Verbindung muss er für einen erfolgreichen Übergriff dann die Erweiterung einsetzen.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE