Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/850 33-0

Kritische Sicherheitslücken OpenSSL

Am 05. Juni sind erneut mehrere kritische Sicherheitslücken im OpenSSL bekannt geworden. Davon betroffen ist u.a. auch die im vergangenen April als Fix für den Heartbleed-Bug veröffentlichte OpenSSL-Version 1.0.1g. Wir empfehlen dringend, betroffene Systeme auf eine aktuellere bzw. bereinigte OpenSSL-Version zu aktualisieren. Im Folgenden gehe ich nun auf das Problem und die Lösungen detaillierter ein.

Problembeschreibung

Eine dieser Lücken erlaubt es z.B. sogenannte Man-in-the-Middle-Angriffe auszuführen (der Datenverkehr kann so entschlüsselt und manipuliert werden).
Weitere Lücken betreffen das DTLS-Protokoll und erlauben die Ausführung beliebigen Codes auf den betroffenen Maschinen.

Sicherheitshinweise

Eine genauere Beschreibung der Lücke findet sich u.a. auf der Heise Security Website unter folgendem Link:
http://www.heise.de/security/meldung/Sieben-auf-einen-Streich-OpenSSL-schliesst-Sicherheitsluecken-2216707.html

Problemlösung

Es wird klar die Aktualisierung der eingesetzten OpenSSL-Version empfohlen.
Folgende Versionen sind betroffen und dabei auf die dahinter aufgeführte Version zu aktualisieren:

  • OpenSSL 0.9.8 -> 0.9.8za
  • OpenSSL 1.0.0 -> 1.0.0m
  • OpenSSL 1.0.1 -> 1.0.1h

Unter Linux erhalten Sie über folgenden Befehl Informationen darüber, welche OpenSSL-Version auf Ihren Systemen aktiv ist: openssl version

Sollten Sie Fragen zur Analyse der verwendeten Version oder zur Aktualisierung der eingesetzten OpenSSL-Version haben, kontaktieren Sie uns.

Kommentar hinterlassen


Pin It on Pinterest