Aus Sicherheitsgründen sollten Administratoren, die OpenSSL einsetzen, die Software auf den aktuellen Stand bringen. Angreifer könnten sonst zwei Sicherheitslücken ausnutzen.

Zur Implementierung von Netzwerkprotokollen und TLS-Verschlüsselung dient die freie Software OpenSSL.

Ausschließlich die Versionen 1.1.1 bis 1.1.1j sind von den zwei Schwachstellen (CVE-2021-3449, CVE-2021-3450) gefährdet, die Ausgabe 1.1.1k ist abgesichert. Eingestuft wurden beide Sicherheitslücken mit dem Bedrohungsgrad "hoch".

Aufgrund einer unzureichenden Prüfung könnten Angreifer, die diese Schwachstellen erfolgreich ausnutzen, Zertifikate manipulieren. Weiterhin ist es denkbar, dass sie Server in den Standardeinstellungen (TLS 1.2, Renegotation) mit einer präparierten ClientHello-Nachricht über eine DoS-Attacke aus dem Verkehr ziehen. Im Sicherheitsbereich warnen die Entwickler auf ihrer Website davor.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE