CleanPress

Schlagwort: OpenSSL

  • OpenSSL 3.0 mit neuer Lizenz

    OpenSSL 3.0

    OpenSSL, die freie Software-Bibliothek für Anwendungen, die die Kommunikation über Computernetzwerke unter anderem mittels SSL/TLS für die Mehrheit der HTTPS-Webseiten sichern, stellt die erste Beta-Version des neuen, ursprünglich für das 4. Quartal 2020 zur Veröffentlichung anstehenden Hauptzweigs 3.0 online. Das gab das OpenSSL Management Committee jetzt im Projektblog bekannt.

    Neu: Lizenz und Versionierung

    Drei Jahre haben die Entwickler an der neuen Hauptversion OpenSSL 3 gearbeitet und dabei mehr als 7.000 Commits von über 300 Entwicklern integriert. Mit der neuen Version wechselt das Projekt von der bisherigen Doppel-Lizenzierung aus SSLeay und seiner eigenen Lizenz hin zur Apache 2 Lizenz, um die Verwendung in anderen Open-Source-Projekten zu vereinfachen. Die Versionierung wird vereinfacht.

    Provider-basierte Architektur als Standard

    An die Stelle der bisherigen »Engine« API tritt eine Provider-basierte Architektur. Diese soll mehr Flexibilität bringen und es Drittautoren ermöglichen, neue Kryptoalgorithmen in OpenSSL hinzuzufügen. Dabei ist das Provider-Konzept eine der wichtigsten Änderungen, die bereits mit OpenSSL 1.1.1 eingeführt wurden. Provider sammeln Algorithmus-Implementierungen und stellen sie zur Verfügung. Mit OpenSSL 3.0 ist es nun möglich, entweder programmatisch oder über eine Konfigurationsdatei festzulegen, welche Provider der Anwender für eine bestimmte Anwendung verwenden möchte. OpenSSL 3.0 wird standardmäßig mit 5 verschiedenen Providern ausgeliefert. Im Laufe der Zeit werden möglicherweise weitere Provider von Drittanbietern zur Verfügung gestellt, die in OpenSSL eingebunden werden können.

    FIPS-Modul in Arbeit

    Einer der verfügbaren Standardanbieter ist FIPS. Dieser stellt FIPS-validierte kryptografische Algorithmen zur Verfügung. OpenSSL wurde 2006 erstmals die FIPS 140-2-Zertifizierung erteilt. Ein entsprechendes Modul ist für OpenSSL 3 in Arbeit, wird wegen des langen Review-Prozesses von mindestens sechs Monaten aber erst im nächsten Jahr erwartet. Zur Verwaltung von digitalen Zertifikaten in einer Public-Key-Infrastruktur (PKI) wurde das Certificate Management Protocol (CMP) vollständig implementiert.

    OpenSSL 3.0 ist ein Major-Release, was bedeutet, dass die ABI der Bibliothek geändert wurde, was eine Neukompilierung aller abhängigen Anwendungen erfordert. Ein Migrations-Leitfaden soll Entwicklern helfen, falls nötig ihre Anwendungen anzupassen. Der Quellcode steht auf der Projektseite bereit, das Projekt wird auf GitHub gepflegt.

  • Schwerwiegender Fehler in OpenSSL behoben

    OpenSSL

    OpenSSL ist ein wichtiger Dreh- und Angelpunkt, wenn es um die Implementierung von Transport Layer Security für Website- und E-Mail-Verschlüsselung geht. So war dann auch die IT-Welt 2014 geschockt darüber, wie es sein konnte, dass bei einer so wichtigen Softwarekomponente eine Lücke wie Heartbleed auftreten konnte.

    Heartbleed führte zur Core Infrastructure Initiative

    Ein paar Zeilen böswilligen Codes konnten einen hohen wirtschaftlichen Schaden erzeugen, unter anderem weil die Nutzer und Nutznießer von OpenSSL es an der Unterstützung für dieses wichtige Projekt hatten fehlen lassen. Zudem wurde OpenSSL über die Jahre immer wieder von kleineren Lücken heimgesucht, allerdings wurden auch vermehrt Audits zu ihrer Entdeckung eingesetzt, zuletzt Anfang 2019.

    Kritische Lücke geschlossen

    Jetzt haben die Entwickler eine weitere, am 17. März entdeckte, hochgradig gefährliche Sicherheitslücke gepatcht, die es Hackern leicht machte, eine große Anzahl von Servern komplett lahmzulegen. Die als CVE-2021-3449 katalogisierte Lücke konnte Server zum Absturz bringen, indem der Hacker einem Server während des anfänglichen Handshakes, der eine sichere Verbindung zwischen einem Endbenutzer und einem Server herstellt, eine bösartig formulierte Neuverhandlungsanforderung übersandte.

    Nur in Nischenkonfigurationen

    Die Entwickler haben zeitgleich eine weitere Schwachstelle behoben, die in Grenzfällen verhindert hat, dass Anwendungen TLS-Zertifikate erkennen und ablehnen, die nicht von einer vom Browser als vertrauenswürdig erkannten Zertifizierungsstelle signiert waren. Diese zweite Schwachstelle ist als CVE-2021-3450 katalogisiert und konnte in nicht standardgemäßen Nischenkonfigurationen eine vollständige Umgehung der Zertifikatsüberprüfung bewirken. Diese Lücke betrifft zudem lediglich den X509_V_FLAG_X509_STRICT Modus.

    Bitte zeitnah aktualisieren

    Alle Versionen ab OpenSSL 1.1.1h sind durch die Lücken verletzlich und sollten umgehend auf OpenSSL 1.1.1k aktualisiert werden. OpenSSL 1.0.2 ist nicht betroffen. Bisher bieten Alpine Linux, Debian und Devuan Unstable, Gentoo, Funtoo, Exherbo, GNU Guix, Solus und Void Linux die gepatchte Version an. Weitere Distributionen werden zeitnah folgen.