CleanPress

Schwerwiegender Fehler in OpenSSL behoben

Verfasst von

sla

in

,
OpenSSL

OpenSSL ist ein wichtiger Dreh- und Angelpunkt, wenn es um die Implementierung von Transport Layer Security für Website- und E-Mail-Verschlüsselung geht. So war dann auch die IT-Welt 2014 geschockt darüber, wie es sein konnte, dass bei einer so wichtigen Softwarekomponente eine Lücke wie Heartbleed auftreten konnte.

Heartbleed führte zur Core Infrastructure Initiative

Ein paar Zeilen böswilligen Codes konnten einen hohen wirtschaftlichen Schaden erzeugen, unter anderem weil die Nutzer und Nutznießer von OpenSSL es an der Unterstützung für dieses wichtige Projekt hatten fehlen lassen. Zudem wurde OpenSSL über die Jahre immer wieder von kleineren Lücken heimgesucht, allerdings wurden auch vermehrt Audits zu ihrer Entdeckung eingesetzt, zuletzt Anfang 2019.

Kritische Lücke geschlossen

Jetzt haben die Entwickler eine weitere, am 17. März entdeckte, hochgradig gefährliche Sicherheitslücke gepatcht, die es Hackern leicht machte, eine große Anzahl von Servern komplett lahmzulegen. Die als CVE-2021-3449 katalogisierte Lücke konnte Server zum Absturz bringen, indem der Hacker einem Server während des anfänglichen Handshakes, der eine sichere Verbindung zwischen einem Endbenutzer und einem Server herstellt, eine bösartig formulierte Neuverhandlungsanforderung übersandte.

Nur in Nischenkonfigurationen

Die Entwickler haben zeitgleich eine weitere Schwachstelle behoben, die in Grenzfällen verhindert hat, dass Anwendungen TLS-Zertifikate erkennen und ablehnen, die nicht von einer vom Browser als vertrauenswürdig erkannten Zertifizierungsstelle signiert waren. Diese zweite Schwachstelle ist als CVE-2021-3450 katalogisiert und konnte in nicht standardgemäßen Nischenkonfigurationen eine vollständige Umgehung der Zertifikatsüberprüfung bewirken. Diese Lücke betrifft zudem lediglich den X509_V_FLAG_X509_STRICT Modus.

Bitte zeitnah aktualisieren

Alle Versionen ab OpenSSL 1.1.1h sind durch die Lücken verletzlich und sollten umgehend auf OpenSSL 1.1.1k aktualisiert werden. OpenSSL 1.0.2 ist nicht betroffen. Bisher bieten Alpine Linux, Debian und Devuan Unstable, Gentoo, Funtoo, Exherbo, GNU Guix, Solus und Void Linux die gepatchte Version an. Weitere Distributionen werden zeitnah folgen.

Kommentare

4 Antworten zu „Schwerwiegender Fehler in OpenSSL behoben“

  1. Avatar von perko
    perko

    Oh man, ist das cool. Heute nachts automatisch gebaut worden:

    2021-03-26T03:44:03 >>> dev-libs/openssl

    Und freenode hat gestern bereits um 18:15 einen globale Info geschickt: (broadcast)

    18:15           glguy`| [global notice] We'll be systematically restarting all of the servers on the network shortly in response to the recently published OpenSSL CVE. Please don't reconnect until you are disconnected. Sorry for any inconvenience this might cause!  

    Jetzt entspannt ins Wochenende.

    Antworten
  2. Avatar von Nick
    Nick

    Unschön, auch wenn mir ein Crash bedeutend lieber ist, als potentiell kompromittierte verschlüsselte Daten. Ich sehe diese Sicherheitslücke trotzdem nicht als besorgniserregend an, zumal sich OpenSSL insbesondere seit dem großen Ausmisten damals sehr positiv entwickelt hat, was die Anzahl an hochkarätigen Sicherheitslücken bis heute dramatisch reduziert hat. Für mich ist der Schutz der Daten das wichtigste, während restliche Fehler ohnehin nach und nach fallen werden. Und davon abgesehen sollte auch nicht vergessen werden, dass eine nicht unerhebliche Menge an FOSS seit Jahren auf GnuTLS aufbaut, womit OpenSSL seitige Probleme effektiv nicht greifen.

    Antworten
    1. Avatar von vell
      vell

      Eigentlich wird erst OpenSSL 3.0 das grosse Ausmisten. Ich verstehe aber auch nicht, warum gnutls kaum jemand benutzt.

      Antworten
  3. Avatar von putzerstammer
    putzerstammer

    gestern noch ein Update bekommen (Linux Solus)

    Antworten

Schreibe einen Kommentar zu putzerstammer Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge