Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Kritische Sicherheitslücken OpenSSL

Am 05. Juni sind erneut meh­rere kri­ti­sche Sicherheitslücken im OpenSSL bekannt gewor­den. Davon betrof­fen ist u.a. auch die im ver­gan­ge­nen April als Fix für den Heartbleed-Bug ver­öf­fent­lichte OpenSSL-Version 1.0.1g. Wir emp­feh­len drin­gend, betrof­fene Systeme auf eine aktu­el­lere bzw. berei­nigte OpenSSL-Version zu aktua­li­sie­ren. Im Folgenden gehe ich nun auf das Problem und die Lösungen detail­lier­ter ein.

Problembeschreibung

Eine die­ser Lücken erlaubt es z.B. soge­nannte Man-in-the-Middle-Angriffe aus­zu­füh­ren (der Datenverkehr kann so ent­schlüs­selt und mani­pu­liert wer­den).
Weitere Lücken betref­fen das DTLS-Protokoll und erlau­ben die Ausführung belie­bi­gen Codes auf den betrof­fe­nen Maschinen.

Sicherheitshinweise

Eine genauere Beschreibung der Lücke fin­det sich u.a. auf der Heise Security Website unter fol­gen­dem Link:
http://www.heise.de/security/meldung/Sieben-auf-einen-Streich-OpenSSL-schliesst-Sicherheitsluecken-2216707.html

Problemlösung

Es wird klar die Aktualisierung der ein­ge­setz­ten OpenSSL-Version emp­foh­len.
Folgende Versionen sind betrof­fen und dabei auf die dahin­ter auf­ge­führte Version zu aktualisieren:

  • OpenSSL 0.9.8 -> 0.9.8za
  • OpenSSL 1.0.0 -> 1.0.0m
  • OpenSSL 1.0.1 -> 1.0.1h

Unter Linux erhal­ten Sie über fol­gen­den Befehl Informationen dar­über, wel­che OpenSSL-Version auf Ihren Systemen aktiv ist: openssl ver­sion

Sollten Sie Fragen zur Analyse der ver­wen­de­ten Version oder zur Aktualisierung der ein­ge­setz­ten OpenSSL-Version haben, kon­tak­tie­ren Sie uns.

Related Posts

Pin It on Pinterest