OpenSSL: Zwei schwere Fehler wurden mit Version 1.1.1k behoben
von caschy | 3 Kommentare
Für diverse Apps und Dienste dürften unter Umständen bald Updates ins Haus stehen, denn es wurden zwei Schwachstellen in OpenSSL geschlossen. OpenSSL wird oft zur Implementierung der Protokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL) verwendet, die verschlüsselte Netzwerkverbindungen unterstützen. Groß in die Medien kam OpenSSL 2014 mit Heartbleed, die aktuell geschlossenen Lücken sind so schwerwiegend aber nicht.
Der erste Fehler, eine Umgehung der Zertifikatsprüfung, hatte sich mit dem Update 1.1.1h eingeschlichen – geführt wird er unter CVE-2021-3450. Nutzer dieser OpenSSL-Version oder höher sind betroffen, Benutzer dieser Versionen sollten ein Upgrade auf OpenSSL 1.1.1k durchführen. Version 1.0.2 ist nicht betroffen. Der andere Bug wird unter CVE-2021-3449 geführt. Ein OpenSSL-TLS-Server kann abstürzen, wenn eine böswillig gestaltete Renegotiation-ClientHello-Nachricht von einem Client gesendet wird.
Beide Lücken haben den Schweregrad „Hoch“. Interessierte finden die Details direkt in der Ankündigung. Für Debian und Ubuntu gibt’s bereits Patches.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wir sind auch zu LibreSSL gewechselt, weil die Versionierung bei openssl einfach nicht auszuhalten ist. Krank sowas.
Seit wann ist denn die Versionierung einer Software ein Problem?
Welchen ernsthaften Vorteil siehst du bei LibreSSL im Vergleich zu OpenSSL?
Warum „auch“? Fast niemand nutzt mehr LibreSSL: https://linuxnews.de/2021/03/void-linux-kehrt-libressl-den-ruecken-und-zu-openssl-zurueck/