Security AdSecurity Advisory: die neuesten Sicherheits-Updates von OpenSSL

Originalartikel von Bernadette Irinco, Technical Communications

OpenSSL hat sechs Sicherheits-Update für die vorhandenen Lücken veröffentlicht. Bislang gibt es keine Berichte über Exploits, die die Schwachstellen ausnützen. Die Patches schließen die folgenden Lücken:

  • SSL/TLS MITM-Sicherheitslücke (CVE-2014-0224)
  • DTLS Rekursionsfehler (CVE-2014-0221)
  • DTLS ungültige Fragmentlücke (CVE-2014-0195)
  • SSL_MODE_RELEASE_BUFFERS NULL Zeiger-Dereferenzierung (CVE-2014-0198)
  • SSL_MODE_RELEASE_BUFFERS Session Injection oder Denial of Service (CVE-2010-5298)
  • Anonymer ECDH Denial of Service (CVE-2014-3470)

Wird die SSL/TLS MITM-Sicherheitslücke über einen Man-in-the-Middle-Angriff ausgenützt, so kann der Angreifer aus der Ferne den Verkehr von einem verwundbaren Client und Server ändern. Damit die Taktik Erfolg hat, muss sowohl der Client als auch der Server verwundbar sein, sodass die Gefahr weniger groß ist als bei der Heartbleed-Lücke.

Über den Missbrauch der DTLS Invalid Fragment-Lücke können Angreifer beliebigen Code ausführen, um die Systemsicherheit außer Kraft zu setzen. Zudem kann der DTLS Rekursionsfehler (CVE-2014-0221) dazu missbraucht werden, einen Denial-of-Service (DoS)-Angriff zu starten.

Server mit OpenSSL 1.0.1 und 1.0.2-Beta1 sind angreifbar, doch sollten auch die Server aktualisiert werden, die eine frühere Version nutzen. Dies gilt für die Versionen:

  • OpenSSL 0.9.8 SSL/TLS Upgrade auf 0.9.8za
  • OpenSSL 1.0.0 SSL/TLS Upgrade auf 1.0.0m
  • OpenSSL 1.0.1 SSL/TLS Upgrade auf 1.0.1h

Zwar unterscheiden sich diese OpenSSL-Sicherheitslücken von dem Heartbleed-Fehler, der viele Websites und mobile Anwendungen betraf, doch setzen sie die Systeme dennoch einem Risiko aus. Webadministratoren sollten deshalb die neuesten Sicherheits-Updates auf ihre Systeme aufspielen, um das Risiko so gering wie möglich zu halten.

Trend Micros Deep Security schützt die Anwender vor diesen Sicherheitslücken über die DPI-Regeln:

  • 1006088 – OpenSSL SSL/TLS Man In The Middle Security Bypass Vulnerability (gegen CVE-2014-0224)
  • 1006090 – Detected Fragmented DTLS Request
  • 1006084 – GnuTLS “read_server_hello()” Memory Corruption Vulnerability

Die Regel “1006091 – Detected Fragmented DTLS Message” wiederum schützt vor den folgenden Lücken:

  • DTLS invalid fragment vulnerability (CVE-2014-0195)
  • DTLS recursion flaw (CVE-2014-0221)

Auch sind die Anwender vor CVE-2014-3466 geschützt. Es gilt die Regel:

  • 1006084 – GnuTLS “read_server_hello()” Memory Corruption Vulnerability

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .