Neue und alte Bugs in OpenSSL

19.03.2015

Neue Releases diverser OpenSSL-Versionen beheben kleine und große Fehler.

In einem neuen Security-Advisory, über dessen Inhalt bereits Anfang der Woche spekuliert worden war, weist das OpenSSL-Projekt auf eine Reihe von Bugs hin, die in aktuellen Updates geschlossen werden. Als schwerwiegend wird ein Fehler angesehen, der bei der Neuverhandlung von Verbindungsparametern mit einer ungültigen Signatur-Algorithmen-Erweiterung zu einem Denial-of-Service-Angriff führen kann. Betroffen davon ist die OpenSSL-Version 1.0.2. Anwendern wird ein Update auf OpenSSL 1.0.2a empfohlen.

Ein schon bekannter Fehler wurde als schwerwiegend neu klassifiziert. Es handelt sich um ein Downgrade auf das RSA-Exportalgorithmen-Paket. Bisher hatten die OpenSSL-Entwickler angenommen, dieses sei nicht sehr verbreitet, aber jetzt haben sie ihre Meinung revidiert. Betroffen sind die OpenSSL-Releases 1.0.1, 1.0.0 und 0.9.8, für die es jeweils Updates gibt.

Das Security-Advisory zählt noch ein knappes Dutzend weiterer weniger schwerwiegender Fehler auf, die in den Updates der Verschlüsselungssoftware behoben sind.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

OpenSSL updatet das Update

Nach einem Security-Update müssen die Entwickler noch einmal nachlegen und die darin enthaltenen Fehler bereinigen.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023