Neue Sicherheitslücken in OpenSSL identifiziert

Gestern wurde ein neues Security Advisory von OpenSSL veröffentlicht, das sechs neue Sicherheitslücken verzeichnet. Im Gegensatz zu Heartbleed, der OpenSSL-Sicherheitslücke, die im April 2014 identifiziert wurde, ist das Schlüsselmaterial digitaler Zertifikate nicht anfällig für die Gefährdung. Eine mögliche Ausnahme besteht allerdings, wenn man mit DTLS arbeitet.  

Zu den neu identifizierten Sicherheitslücken gehören ein SSL/TLS-Bug, der es einem Angreifer erlaubt einen Man-in-the-Middle-Angriff (MITM) durchzuführen, der zur Exposition sensibler Daten führen kann und eine DTLS-Sicherheitslücke, die die Injektion von bösartigem Code in anfällige Software und Geräte ermöglicht.

Empfohlene Maßnahmen:

  • Wir raten allen OpenSSL-Benutzern, ihre Systeme sofort mit den von OpenSSL bereitgestellten Patches und Empfehlungen zu aktualisieren.
  • Wenn Sie nicht mit DTLS arbeiten, müssen Sie Zertifikate nicht neu ausstellen. 
  • Wenn Sie mit DTLS arbeiten, können einige zusätzliche Schritte erforderlich sein.  Bitte wenden Sie sich an den GlobalSign Support für weitere Hinweise.

Empfohlene Upgrades aus dem OpenSSL Security Advisory: 

  • Benutzer von OpenSSL 0.9.8 SSL/TLS (Client und/oder Server) sollten auf 0.9.8za aktualisieren.
  • Benutzer von OpenSSL 1.0.0 SSL/TLS (Client und/oder Server) sollten auf 1.0.0m aktualisieren.
  • Benutzer von OpenSSL 1.0.1 SSL/TLS (Client und/oder Server) sollten auf 1.0.1h aktualisieren.
  • Benutzer von OpenSSL 0.9.8 DTLS sollten auf 0.9.8za aktualisieren.
  • Benutzer von OpenSSL 1.0.0 DTLS sollten auf 1.0.0m aktualisieren.
  • Benutzer von OpenSSL 1.0.1 DTLS sollten auf 1.0.1h aktualisieren.
  • Benutzer von OpenSSL 1.0.0 sollten auf 1.0.0m aktualisieren.
  • Benutzer von OpenSSL 1.0.1 sollten auf 1.0.1h aktualisieren.

Alle Details zu den OpenSSL-Sicherheitslücken finden Sie auf der OpenSSL Website.