OpenSSL: Zwei schwere Fehler wurden mit Version 1.1.1k behoben

Für diverse Apps und Dienste dürften unter Umständen bald Updates ins Haus stehen, denn es wurden zwei Schwachstellen in OpenSSL geschlossen. OpenSSL wird oft zur Implementierung der Protokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL) verwendet, die verschlüsselte Netzwerkverbindungen unterstützen. Groß in die Medien kam OpenSSL 2014 mit Heartbleed, die aktuell geschlossenen Lücken sind so schwerwiegend aber nicht.

Der erste Fehler, eine Umgehung der Zertifikatsprüfung, hatte sich mit dem Update 1.1.1h eingeschlichen – geführt wird er unter CVE-2021-3450. Nutzer dieser OpenSSL-Version oder höher sind betroffen, Benutzer dieser Versionen sollten ein Upgrade auf OpenSSL 1.1.1k durchführen. Version 1.0.2 ist nicht betroffen. Der andere Bug wird unter CVE-2021-3449 geführt. Ein OpenSSL-TLS-Server kann abstürzen, wenn eine böswillig gestaltete Renegotiation-ClientHello-Nachricht von einem Client gesendet wird.

Beide Lücken haben den Schweregrad „Hoch“. Interessierte finden die Details direkt in der Ankündigung. Für Debian und Ubuntu gibt’s bereits Patches.

In diesem Artikel sind Amazon-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

3 Kommentare

  1. Wir sind auch zu LibreSSL gewechselt, weil die Versionierung bei openssl einfach nicht auszuhalten ist. Krank sowas.

    • Seit wann ist denn die Versionierung einer Software ein Problem?
      Welchen ernsthaften Vorteil siehst du bei LibreSSL im Vergleich zu OpenSSL?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.