Ein unabhängiger Audit bestätigt der OpenSSL-Version 1.1.1, keine ernsten Probleme mit sich zu bringen. An einigen Stellen ließe sich der Code zwar noch optimieren, aber allgemein sei er "funktional, sicher und schnell", hieß es im Fazit zur Untersuchung.

Vor allem konzentrierte sich diese auf die neuen Fuktionen für TLS 1.3 und den überarbeiteten Pseudo Random Number Generator (PRNG). Laut der Ankündigung fand das Audit-Team in einem Blogpost nur kleinere clientseitige Denial-of-Service-Schwachstellen. Angreifer hätten über diese OpenSSL zum Absturz bringen können. Auch das Benachrichtigen beim Scheitern von Verbindungen und im Zusammenhang mit TLS 1.3 wies kleinere Fehler auf.

Zwar sind der neue PRNG und das SRP-Authentifizierungsprotokoll korrekt implementiert worden, dennoch ließe sich der Code aber noch mit hilfreichen Kommentaren und eindeutiger benannten Funktionen verbessern.

Im Code fehlen an einigen internen Funktionen auch NULL-Checks: Software verhält sich mitunter unberechenbar, wenn NULL-Werte übergeben werden. Allerdings seien die fehlenden NULL-Checks Absicht, um die Leistung zu verbessern, argumentierten die OpenSSL-Entwickler. Den Sicherheitsforschern wurde von unabhängigen Experten bestätigt, dass es unwahrscheinlich sei, dass das Fehlen der NULL-Checks den von außen nicht aufrufbaren Code tangiere.

Der Audit, welcher unter anderem von Private Internet Access und Duckduckgo über den Fonds Ostif gesponsert wurde, führte letztlich zu 16 Empfehlungen und Änderungen an OpenSSL. Künftig soll die Software zudem Teil eines Bug-Bounty-Programms werden. In einem PDF lässt sich der vollständige Test nachlesen.

(jf, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE