Sicherheitsprobleme mit OpenSSL
5. Juni 2014
Das OpenSSL-Projekt hat eine
Warnung
bezüglich mehrerer sicherheitsrelevanter Schwachstellen veröffentlicht.
Informationsquelle(n):
OpenSSL Security Advisory (englisch)
https://www.openssl.org/news/secadv_20140605.txt
Beschreibung
Es besteht die Möglichkeit von Remote Code Execution, Denial Of Service und Man-in-the-middle Attacken. Diese können sowohl OpenSSL Clients als auch Server betreffen.Auswirkungen
Noch sind keine Angriffe, die diese Schwachstellen ausnutzen, bekannt. Es ist allerdings davon auszugehen, dass diverse Akteure nun mit Hochdruck versuchen werden, dies zu tun.Details zu den wichtigsten Schwachstellen:
- Potential für Man-in-the-middle - Attacke
Falls Client und Server verwundbare OpenSSL-Versionen verwenden, ist es einem Angreifer am Netzwerk dazwischen möglich, schwache Verschlüsselungs- Algorithmen zu erzwingen und dann entsprechend den verschlüsselten Verkehr mitzulesen bzw. zu verändern.
Eintrag in der CVE-Datenbank: CVE-2014-0224 - Potentielle Remote Code Execution
In OpenSSL DTLS Clients und Servern exisiert ein Fehler, der es einem Angreifer ermöglichen könnte, beliebigen Code auszuführen.
Eintrag in der CVE-Datenbank: CVE-2014-0195
Betroffene Systeme
Systeme, die OpenSSL in folgenden Versionen einsetzen, sind verwundbar:- OpenSSL 0.9.8y und früher
- OpenSSL 1.0.1g und früher
- OpenSSL 1.0.2-beta1 und früher
Weiters sind auch alle Systeme/Services betroffen, auf denen
eigens kompilierte/installierte Versionen von OpenSSL eingesetzt werden.
Auch Installationen von zB "SSL-VPN"-Services können betroffen sein.
Auch Endbenutzer sollten ihre Systeme auf Verwendung von verwundbaren OpenSSL-Versionen überprüfen, dies betrifft auch besonders Benutzer von mobilen Geräten wie Smartphones/Tablets.
Abhilfe
Es wird dringend empfohlen, die von den Betriebssystemen bereitgestellten Patches zu installieren, beziehungsweise auf folgende OpenSSL-Versionen upzugraden:- OpenSSL 0.9.8 auf 0.9.8za
- OpenSSL 1.0.0 auf 1.0.0m
- OpenSSL 1.0.1 auf 1.0.1h
Software-Entwickler/-Hersteller, die OpenSSL in eigenen Projekten/Programmen einsetzen, sollten ebenfalls neue Versionen, die die entsprechenden Updates beinhalten, ausliefern.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
OpenSSL Security Advisory (englisch)
https://www.openssl.org/news/secadv_20140605.txt