Wie angekündigt sind auf openssl.org die neuen Versionen 1.0.2d und 1.0.1p seit heute verfügbar. Sie beheben einen als High eingestuften Security Bug (CVE-2015-1793) in OpenSSL 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o. Andere Versionen, insb. auch 0.9.8 und 1.0.0 sind davon nicht betroffen.

Der hier beschriebene Bug gibt Angreifern die Mögichkeit eines Man-In-The-Middle-Angriffs, indem bei der Prüfung einer Zertifikats-Kette bestimmte Checks umgangen werden können. Als fatal wird in dem Zusammenhang das CA-Flag genannt, was dazu führen kann, dass irgendwelche Zertifikate sich als CA ausgeben und unbemerkt gültige Zertifikate für Applikationen ausstellen können.

Betroffen von dem Bug sind OpenSSL-verwendende Applikationen, die Zertifikate prüfen, in erster Linie Clients, aber auch Server, die Clients aufgrund ihrer Zertifikate authentifizieren.

In ihrem Security Advisory erinnern die Entwickler nochmal daran, dass der Support für die Versionen 0.9.8 und 1.0.0 am 31. Dezember 2015 endet. Danach wird es keine Security Fixes mehr für diese Versionen geben.

Referenzen:

1. https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

2. https://www.openssl.org/news/secadv_20150709.txt

Wir benutzen Cookies
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.