OpenSSL schließt Logjam-Lücke

OpenSSL wird sicherer. Jetzt veröffentlicht das Team insgesamt sieben Updates für die verbreitete Verschlüsselungstechnologie.

Der wichtigste Fix richtet sich an ein Problem im Diffie-Hellman-Key-Exchange. Dieser machte eine Man-in-the-Middle-Attacke möglich. Das Leck wurde als Logjam bekannt. Diffie-Hellmann wird von Secure Sockets Layer (SSL) und Transport Layer Security (TLS) verwendet, um sich über einen Key auszutauschen und so eine sichere Verbindung herzustellen.

Logjam erinnert an die OpenSSL-Lücke Freak, scheint aber offenbar deutlich schwieriger auszunutzen. Jetzt hat das Team das Leck behoben. (Screenshot: ZDNet.de)

Ein Angreifer kann damit die Stärke der Verschlüsselung abschwächen. Die Verbindung findet dann mit einer Verschlüsselung statt, die auf 512-Bit-Primzahlen basiert, die ein Hacker knacken kann. Durch den Patch weisen TLS-Clients Handshakes mit Diffie-Helman-Parametern die kürzer als 768 Bits sind zurück. In einem der nächsten Releases von OpenSSL soll dieser Wert auf 1024 Bits gesteigert werden, wie es in dem Advisory heißt. Zwischenzeitlich sollten Anwender von OpenSSL 1.0.2 auf die Version 1.0.2b aktualisieren und Nutzer von OpenSSL 1.0.1 sollten auf 1.0.1n updaten.

Das Sicherheitsunternehmen Trend Micro erklärte Mitte Mai allerdings, dass es eben auch Sicherheitslücken in Systemen gibt, die auf 768 oder 1024-Bit-Primzahlen basieren.

Zwar ähnelt diese Schwachstelle der bekannten Freak-Lücke. Über TLS steckt der Fehler in zahlreichen Web-Browsern und E-Mail-Servern. Allerdings scheint es, nur wenige erfolgreiche Angriffe über das Leck gegeben zu haben. Damit ein Angreifer das Leck erfolgreich ausnutzen kann, muss er in der Lage sein, den Datenverkehr zwischen Server und Client abzufangen. Und auch das Knacken der geschwächten Verschlüsselung bedarf umfangreicher Rechnerressourcen.

Aufgespürt wurde Logjam von Computerwissenschaftlern der französischen Forschungseinrichtungen Inria und CNRS sowie der Johns Hopkins University, der University of Michigan und der University of Pennsylvania sowie Mitarbeitern von Microsoft Research. Laut den Forschern, die ihre Ergebnisse auf der Webseite WeakDH.org präsentierten, sind oder vielmehr waren 8,4 Prozent der HTTPS gesicherten Top-1-Million-Websites anfällig. POP3- beziehungsweise IMAP-Server, die mit TLS gesichert sind, seien es 8,9 und 8,4 Prozent, bei den SMTP-Servern sogar 14,8 Prozent. Die Zahlen zu den E-Mail-Servern beziehen sich allerdings nur auf den IPv4-Adressraum. Die wichtigsten Browser-Hersteller hingegen hatten sehr schnell nach Bekanntwerden des Lecks mit Patches reagiert, die dafür sorgten, dass kurze Schlüssel abgelehnt werden.

Die weiteren Lecks, die das Team jetzt in OpenSSL schließt, weisen bei weitem nicht das Risiko auf, das etwa von Heartbleed oder Freak ausgegangen war. Die meisten können für Denial-of-Services-Attacken verwendet werden. Dennoch sollten auch diese Patches eingespielt werden, rät das Team. Eines der geschlossenen Lecks kann darüber hinaus verwendet werden, um ältere Versionen von OpenSSL anzugreifen und eine Memory Corruption zu provozieren.

Dieses Memory-Problem betrifft die OpenSSL-Versionen 1.0.1, 1.0.0 und 0.9.8. Daher sollten Nutzer von OpenSSL 0.9.8 DTLS auf 0.9.8za, Nutzer von OpenSSL 1.0.0 DTLS auf 1.0.0m und Nutzer von OpenSSL 1.0.1 DTLS auf 1.0.1h aktualisieren.

Zusammen mit dem Advisory warnt OpenSSL auch, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 mit Ende dieses Jahres auslaufen werden. Nach dem 31. Dezember 2015 werden dann keine weiteren Sicherheitsupdates für diese Versionen veröffentlicht. Daher sollten Nutzer so bald wie möglich neuere Versionen von OpenSSL aufspielen.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago