Sicherheitsprobleme mit OpenSSL

5. Juni 2014

Das OpenSSL-Projekt hat eine Warnung bezüglich mehrerer sicherheitsrelevanter Schwachstellen veröffentlicht.

Beschreibung

Es besteht die Möglichkeit von Remote Code Execution, Denial Of Service und Man-in-the-middle Attacken. Diese können sowohl OpenSSL Clients als auch Server betreffen.

Auswirkungen

Noch sind keine Angriffe, die diese Schwachstellen ausnutzen, bekannt. Es ist allerdings davon auszugehen, dass diverse Akteure nun mit Hochdruck versuchen werden, dies zu tun.

Details zu den wichtigsten Schwachstellen:

  • Potential für Man-in-the-middle - Attacke
    Falls Client und Server verwundbare OpenSSL-Versionen verwenden, ist es einem Angreifer am Netzwerk dazwischen möglich, schwache Verschlüsselungs- Algorithmen zu erzwingen und dann entsprechend den verschlüsselten Verkehr mitzulesen bzw. zu verändern.
    Eintrag in der CVE-Datenbank: CVE-2014-0224
  • Potentielle Remote Code Execution
    In OpenSSL DTLS Clients und Servern exisiert ein Fehler, der es einem Angreifer ermöglichen könnte, beliebigen Code auszuführen.
    Eintrag in der CVE-Datenbank: CVE-2014-0195
Weiters existieren Schwachstellen, die etwa OpenSSL Clients bzw. Server zum Absturz bringen können, Details dazu finden sich im Advisory von OpenSSL.

Betroffene Systeme

Systeme, die OpenSSL in folgenden Versionen einsetzen, sind verwundbar:
  • OpenSSL 0.9.8y und früher
  • OpenSSL 1.0.1g und früher
  • OpenSSL 1.0.2-beta1 und früher

Weiters sind auch alle Systeme/Services betroffen, auf denen eigens kompilierte/installierte Versionen von OpenSSL eingesetzt werden.
Auch Installationen von zB "SSL-VPN"-Services können betroffen sein.

Auch Endbenutzer sollten ihre Systeme auf Verwendung von verwundbaren OpenSSL-Versionen überprüfen, dies betrifft auch besonders Benutzer von mobilen Geräten wie Smartphones/Tablets.

Abhilfe

Es wird dringend empfohlen, die von den Betriebssystemen bereitgestellten Patches zu installieren, beziehungsweise auf folgende OpenSSL-Versionen upzugraden:
  • OpenSSL 0.9.8 auf 0.9.8za
  • OpenSSL 1.0.0 auf 1.0.0m
  • OpenSSL 1.0.1 auf 1.0.1h

Software-Entwickler/-Hersteller, die OpenSSL in eigenen Projekten/Programmen einsetzen, sollten ebenfalls neue Versionen, die die entsprechenden Updates beinhalten, ausliefern.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

OpenSSL Security Advisory (englisch)
https://www.openssl.org/news/secadv_20140605.txt