Am 05. Juni sind erneut mehrere kritische Sicherheitslücken im OpenSSL bekannt geworden. Davon betroffen ist u.a. auch die im vergangenen April als Fix für den Heartbleed-Bug veröffentlichte OpenSSL-Version 1.0.1g. Wir empfehlen dringend, betroffene Systeme auf eine aktuellere bzw. bereinigte OpenSSL-Version zu aktualisieren. Im Folgenden gehe ich nun auf das Problem und die Lösungen detaillierter ein.
Problembeschreibung
Eine dieser Lücken erlaubt es z.B. sogenannte Man-in-the-Middle-Angriffe auszuführen (der Datenverkehr kann so entschlüsselt und manipuliert werden).
Weitere Lücken betreffen das DTLS-Protokoll und erlauben die Ausführung beliebigen Codes auf den betroffenen Maschinen.
Sicherheitshinweise
Eine genauere Beschreibung der Lücke findet sich u.a. auf der Heise Security Website unter folgendem Link:
http://www.heise.de/security/meldung/Sieben-auf-einen-Streich-OpenSSL-schliesst-Sicherheitsluecken-2216707.html
Problemlösung
Es wird klar die Aktualisierung der eingesetzten OpenSSL-Version empfohlen.
Folgende Versionen sind betroffen und dabei auf die dahinter aufgeführte Version zu aktualisieren:
- OpenSSL 0.9.8 -> 0.9.8za
- OpenSSL 1.0.0 -> 1.0.0m
- OpenSSL 1.0.1 -> 1.0.1h
Unter Linux erhalten Sie über folgenden Befehl Informationen darüber, welche OpenSSL-Version auf Ihren Systemen aktiv ist: openssl version
Sollten Sie Fragen zur Analyse der verwendeten Version oder zur Aktualisierung der eingesetzten OpenSSL-Version haben, kontaktieren Sie uns.