DROWN und Cachebleed gefährden OpenSSL

01.03.2016

Eine Sicherheitslücke bedroht auch Server mit TLS-Verschlüsselung, die SSLv2-Algorithmen abgeschaltet haben. 

Sicherheitsexperten haben eine neue Lücke im TLS/SSL-Protokoll gefunden und ihr den Namen DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) gegeben (CVE-2016-0800). Es handelt sich um einen Cross-Protokoll-Angriff, der auf einen in den 90er-Jahren von Daniel Bleichenbacher gefundenen Angriff zurückgeht. Gefährlich an dem Angriff ist, dass er auch mit TLS geschützte Verbindungen bedroht, bei denen SSLv2-Algorithmen abgeschaltet sind. Insbesondere sind Server bedroht, die einen öffentlichen Schlüssel für mehrere Dienste verwenden und zum Beispiel zur Absicherung von SMTP noch SSLv2 erlauben.

Das Risiko von DROWN besteht darin, dass Angreifer trotz Verschlüsselung vermeintlich gesicherte Daten mitlesen können, wenn es ihnen gelingt, den Netzwerktraffic mitzuschneiden. Die Security-Experten bieten auf ihrer Website auch ein Formular, um die eigene Infrastruktur daraufhin zu testen, ob sie vom DROWN-Angriff bedroht ist. Ein Brute-Force-Angriff, den die Forscher ausführen, kostet in der Amazon-Cloud 440 US-Dollar. Dies ist allerdings der Worst Case. In einfacheren Fällen kann der Angriff auch auf einem normalen PC in Minutenschnelle ausführt werden. 

Anwender von OpenSSL 1.0.2 sollen auf Version 1.0.2g updaten, das SSLv2 bei der Übersetzung deaktiviert. Wer OpenSSL 1.0.1 verwendet, soll auf 1.0.1s aktualisieren. Im Zweifelsfall wird Administratoren von Postfix, Nginx, Apache und so weiter geraten, SSLv2 per Konfiguration abzuschalten. er von OpenBSD gestartete OpenSSL-Fork LibreSSL ist von DROWN nicht betroffen, da die Entwickler dort SSLv2 schon entfernt haben. 

Gleichzeitig wurde unter dem Namen Cachebleed noch eine weitere Sicherheitslücke gefunden, die bei einem Seitenkanalangriff mutmaßlich sichere Informationen preisgibt. Dieser Angriff ist aber nur lokal ausführbar und betrifft nur Intel-Prozessoren mit Sandy-Bridge-Architektur. 

SSL , TLS

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Amazon: s2n hat OpenSSL abgelöst

Der komplette SSL-Traffic von Amazon S3 wird nun durch die eigene Open-Source-Implementation des TLS-Protokolls abgewickelt.

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite