Verschlüsselung

Neuer OpenSSL-Bug: Erinnerungen an Heartbleed werden wach (Update)

7. Juli 2015
  • Verschlüsselung

© olly - Fotolia.com

Fast ein Jahr liegt Heartbleed nun zurück: Anfang April 2014 veröffentlichte OpenSSL eine Mitteilung über die besagte Sicherheitslücke und diese zog derartig große mediale Kreise, dass sogar Menschen, die normalerweise nichts mit Technik oder Verschlüsselung zu tun hatten, über diese kritische Schwachstelle bestens informiert waren. Nun warnt OpenSSL wieder: Eine neue Sicherheitslücke, deren Schweregrad auf „hoch“ eingestuft wurde, wurde von den Entwicklern veröffentlicht.

 

Updates bereits angekündigt

Das Team vom OpenSSL Project hat bereits Updates für die gleichnamige Verschlüsselungssoftware angekündigt: Am Donnerstag, den 19. März 2015 sollen die neuen Versionen 1.0.0r, 1.0.1m, 1.0.2a und 0.9.8zf vorliegen. Auf Twitter wird aktuell die Schwere des Bugs diskutiert; Systemadmins hoffen, dass ein SSL-Super-GAU wie bei Heartbleed ausbleibt.

Die Entwickler des OpenSSL Projects haben sich zu Heartbleed-Zeiten fest vorgenommen, schwere Anfälligkeiten dieser Art künftig zu vermeiden. Dafür möchte man den Programm-Code durch unabhängige Experten untersuchen lassen. Dieses sogenannte „Code Audit“ wird dem Sicherheitsunternehmen NCC Group übertragen, wurde vor wenigen Tagen bekannt.

Arbeiten Sie mit OpenSSL, spielen Sie bitte unbedingt die Sicherheitsupdates ein. Haben Sie Fragen zum Thema, beantworten wir diese gerne – sprechen Sie uns einfach in den Kommentaren an.

Update: OpenSSL patcht FREAK

Wie angekündigt, hat das OpenSSL Project eine neue Version seiner Kryptobibliothek OpenSSL veröffentlicht. Das Team schließt dabei gleich eine ganze Reihe von Sicherheitslücken; auch die FREAK-Lücke. Admins wird angeraten, die Updates so schnell wie möglich einzuspielen: Von den zahlreich vorhandenen Schwachstellen – 12 Stück an der Zahl – werden zwei mit der Sicherheitsrisikostufe „hoch“ eingestuft. Sie finden die vier neuen Versionen, die diese Lücken stopfen, auf der Webseite von OpenSSL.

Bei den beiden gefährlichen Schwachstellen mit hohem Sicherheitsrisiko geht es zum einen um die FREAK-Lücke, zum anderen erlaubt eine kritische Lücke, Server für DoS-Attacken anfällig zu machen. Es lohnt sich, die Updates sofort einzuspielen – auch deshalb, weil das Entwicklerteam des OpenSSL Projects ankündigte, den Support für die älteren Versionen 1.0.0 sowie 0.9.8 mit Ende dieses Jahres einzustellen. Je nach OS aktualisieren Sie Ihr System wie folgt:

  • Debian/ Ubuntu: apt-get update; apt-get install
  • OpenSUSE: zypper update
  • CentOS: yum update (um nur die OpenSSL-Pakete sowie deren Abhängigkeiten zu installieren, verwenden Sie bitte yum update openssl)

Update: neue kritische OpenSSL-Sicherheitslücke soll am 09. Juli geschlossen werden

Markieren Sie sich den 09. Juli 2015 schon mal als Update-Tag für OpenSSL: erneut existiert ein kritischer OpenSSL-Bug, der mit den neuen Versionen 1.0.2d sowie 1.0.1p geschlossen werden soll. Der Schweregrad der Sicherheitslücke wird als „hoch“ eingestuft. Über Details schweigen sich die Entwickler aus Sicherheitsgründen bislang aus; diese dürften jedoch mit dem Veröffentlichen des Updates verfügbar sein. Verwenden Sie die Versionen 1.0.0 oder 0.9.8, sind Sie laut OpenSSL-Team nicht betroffen.



0 Kommentar(e)

Schreibe einen Kommentar