Schwerwiegender Fehler in OpenSSL behoben

OpenSSL

OpenSSL ist ein wichtiger Dreh- und Angelpunkt, wenn es um die Implementierung von Transport Layer Security für Website- und E-Mail-Verschlüsselung geht. So war dann auch die IT-Welt 2014 geschockt darüber, wie es sein konnte, dass bei einer so wichtigen Softwarekomponente eine Lücke wie Heartbleed auftreten konnte.

Heartbleed führte zur Core Infrastructure Initiative

Ein paar Zeilen böswilligen Codes konnten einen hohen wirtschaftlichen Schaden erzeugen, unter anderem weil die Nutzer und Nutznießer von OpenSSL es an der Unterstützung für dieses wichtige Projekt hatten fehlen lassen. Zudem wurde OpenSSL über die Jahre immer wieder von kleineren Lücken heimgesucht, allerdings wurden auch vermehrt Audits zu ihrer Entdeckung eingesetzt, zuletzt Anfang 2019.

Kritische Lücke geschlossen

Jetzt haben die Entwickler eine weitere, am 17. März entdeckte, hochgradig gefährliche Sicherheitslücke gepatcht, die es Hackern leicht machte, eine große Anzahl von Servern komplett lahmzulegen. Die als CVE-2021-3449 katalogisierte Lücke konnte Server zum Absturz bringen, indem der Hacker einem Server während des anfänglichen Handshakes, der eine sichere Verbindung zwischen einem Endbenutzer und einem Server herstellt, eine bösartig formulierte Neuverhandlungsanforderung übersandte.

Nur in Nischenkonfigurationen

Die Entwickler haben zeitgleich eine weitere Schwachstelle behoben, die in Grenzfällen verhindert hat, dass Anwendungen TLS-Zertifikate erkennen und ablehnen, die nicht von einer vom Browser als vertrauenswürdig erkannten Zertifizierungsstelle signiert waren. Diese zweite Schwachstelle ist als CVE-2021-3450 katalogisiert und konnte in nicht standardgemäßen Nischenkonfigurationen eine vollständige Umgehung der Zertifikatsüberprüfung bewirken. Diese Lücke betrifft zudem lediglich den X509_V_FLAG_X509_STRICT Modus.

Bitte zeitnah aktualisieren

Alle Versionen ab OpenSSL 1.1.1h sind durch die Lücken verletzlich und sollten umgehend auf OpenSSL 1.1.1k aktualisiert werden. OpenSSL 1.0.2 ist nicht betroffen. Bisher bieten Alpine Linux, Debian und Devuan Unstable, Gentoo, Funtoo, Exherbo, GNU Guix, Solus und Void Linux die gepatchte Version an. Weitere Distributionen werden zeitnah folgen.

3 1 vote
Article Rating
3 1 vote
Article Rating
Abonnieren
Benachrichtige mich bei
5 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments