Nach Heartbleed
Neue OpenSSL-Sicherheitslücke entdeckt
Die OpenSSL-Bibliothek ist erneut von einer kritischen Sicherheitslücke betroffen. Der Fehler soll allerdings bereits behoben worden sein.
Die OpenSSL-Sicherheitslücke "Heartbleed" sorgte für viele Probleme bei rund zwei Drittel der am Internet hängenden Server. Rund ein Jahr später ist die Verschüsselungsbibliothek OpenSSL erneut von einem kritischen Fehler betroffen.
Unter bestimmten Umständen wird das CA-Flag, das die Zertifierungsstelle für digitale Zertifikate ausweist, nicht korrekt überprüft. Angreifer könnten sich dadurch leicht als "Certificate Authority" (CA) zwischenschalten und sich als vertrauenswürdiger Absender, wie zum Beispiel eine dem Nutzer bekannte Bank, ausgeben.
Ausgelöst wird die Schwachstelle durch einen Bug, bei dem der Angreifer dafür sorgt, dass die erste Prüfung der CA-Flag fehlschlägt. Beim zweiten Versuch wird die Sicherheitslücke dann angreifbar. Der zuständige Code der Prüfung wurde dabei wohl im Januar dieses Jahres in OpenSSL aufgenommen.
Wie die OpenSSL-Entwickler nun melden, habe man die Schwachstelle inzwischen allerdings ausgebessert. Generell sei die Gefahr, die von der Sicherheitslücke ausgeht, eher gering, da Client-Zertifikate kaum bei Servern zum Einsatz kommen.
Unabhängig von der Betroffenheit der Server raten wir dennoch zum Update auf die aktuellste Version des Open-SSL-Projekts, die Sie auf der offiziellen Website als Download finden.
Weiter zur Startseite
