Aus Sicherheitsgründen sollten Administratoren, die OpenSSL
einsetzen, die Software auf den aktuellen Stand bringen. Angreifer
könnten sonst zwei Sicherheitslücken ausnutzen.
Zur Implementierung von Netzwerkprotokollen und TLS-Verschlüsselung
dient die freie Software OpenSSL.
Ausschließlich die Versionen 1.1.1 bis 1.1.1j sind von den
zwei Schwachstellen (CVE-2021-3449, CVE-2021-3450) gefährdet,
die Ausgabe 1.1.1k ist abgesichert. Eingestuft wurden beide Sicherheitslücken
mit dem Bedrohungsgrad "hoch".
Aufgrund einer unzureichenden Prüfung könnten Angreifer,
die diese Schwachstellen erfolgreich ausnutzen, Zertifikate manipulieren.
Weiterhin ist es denkbar, dass sie Server in den Standardeinstellungen
(TLS 1.2, Renegotation) mit einer präparierten ClientHello-Nachricht
über eine DoS-Attacke aus dem Verkehr ziehen. Im Sicherheitsbereich
warnen die Entwickler auf ihrer Website
davor.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|