Am 6. Juli angekündigter OpenSSL Patch verfügbar (CVE-2015-1793)

Veröffentlicht: Donnerstag, 09. Juli 2015 14:57

Wie angekündigt sind auf openssl.org die neuen Versionen 1.0.2d und 1.0.1p seit heute verfügbar. Sie beheben einen als High eingestuften Security Bug (CVE-2015-1793) in OpenSSL 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o. Andere Versionen, insb. auch 0.9.8 und 1.0.0 sind davon nicht betroffen.

Der hier beschriebene Bug gibt Angreifern die Mögichkeit eines Man-In-The-Middle-Angriffs, indem bei der Prüfung einer Zertifikats-Kette bestimmte Checks umgangen werden können. Als fatal wird in dem Zusammenhang das CA-Flag genannt, was dazu führen kann, dass irgendwelche Zertifikate sich als CA ausgeben und unbemerkt gültige Zertifikate für Applikationen ausstellen können.

Betroffen von dem Bug sind OpenSSL-verwendende Applikationen, die Zertifikate prüfen, in erster Linie Clients, aber auch Server, die Clients aufgrund ihrer Zertifikate authentifizieren.

In ihrem Security Advisory erinnern die Entwickler nochmal daran, dass der Support für die Versionen 0.9.8 und 1.0.0 am 31. Dezember 2015 endet. Danach wird es keine Security Fixes mehr für diese Versionen geben.

Referenzen:

1. https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

2. https://www.openssl.org/news/secadv_20150709.txt