OpenSSL schließt Logjam-Lücke

OpenSSL wird sicherer. Jetzt veröffentlicht das Team insgesamt sieben Updates für die verbreitete Verschlüsselungstechnologie.

Der wichtigste Fix richtet sich an ein Problem im Diffie-Hellman-Key-Exchange. Dieser machte eine Man-in-the-Middle-Attacke möglich. Das Leck wurde als Logjam bekannt. Diffie-Hellmann wird von Secure Sockets Layer (SSL) und Transport Layer Security (TLS) verwendet, um sich über einen Key auszutauschen und so eine sichere Verbindung herzustellen.

Logjam erinnert an die OpenSSL-Lücke Freak, scheint aber offenbar deutlich schwieriger auszunutzen. Jetzt hat das Team das Leck behoben. (Screenshot: ZDNet.de)

Ein Angreifer kann damit die Stärke der Verschlüsselung abschwächen. Die Verbindung findet dann mit einer Verschlüsselung statt, die auf 512-Bit-Primzahlen basiert, die ein Hacker knacken kann. Durch den Patch weisen TLS-Clients Handshakes mit Diffie-Helman-Parametern die kürzer als 768 Bits sind zurück. In einem der nächsten Releases von OpenSSL soll dieser Wert auf 1024 Bits gesteigert werden, wie es in dem Advisory heißt. Zwischenzeitlich sollten Anwender von OpenSSL 1.0.2 auf die Version 1.0.2b aktualisieren und Nutzer von OpenSSL 1.0.1 sollten auf 1.0.1n updaten.

Das Sicherheitsunternehmen Trend Micro erklärte Mitte Mai allerdings, dass es eben auch Sicherheitslücken in Systemen gibt, die auf 768 oder 1024-Bit-Primzahlen basieren.

Zwar ähnelt diese Schwachstelle der bekannten Freak-Lücke. Über TLS steckt der Fehler in zahlreichen Web-Browsern und E-Mail-Servern. Allerdings scheint es, nur wenige erfolgreiche Angriffe über das Leck gegeben zu haben. Damit ein Angreifer das Leck erfolgreich ausnutzen kann, muss er in der Lage sein, den Datenverkehr zwischen Server und Client abzufangen. Und auch das Knacken der geschwächten Verschlüsselung bedarf umfangreicher Rechnerressourcen.

Aufgespürt wurde Logjam von Computerwissenschaftlern der französischen Forschungseinrichtungen Inria und CNRS sowie der Johns Hopkins University, der University of Michigan und der University of Pennsylvania sowie Mitarbeitern von Microsoft Research. Laut den Forschern, die ihre Ergebnisse auf der Webseite WeakDH.org präsentierten, sind oder vielmehr waren 8,4 Prozent der HTTPS gesicherten Top-1-Million-Websites anfällig. POP3- beziehungsweise IMAP-Server, die mit TLS gesichert sind, seien es 8,9 und 8,4 Prozent, bei den SMTP-Servern sogar 14,8 Prozent. Die Zahlen zu den E-Mail-Servern beziehen sich allerdings nur auf den IPv4-Adressraum. Die wichtigsten Browser-Hersteller hingegen hatten sehr schnell nach Bekanntwerden des Lecks mit Patches reagiert, die dafür sorgten, dass kurze Schlüssel abgelehnt werden.

Die weiteren Lecks, die das Team jetzt in OpenSSL schließt, weisen bei weitem nicht das Risiko auf, das etwa von Heartbleed oder Freak ausgegangen war. Die meisten können für Denial-of-Services-Attacken verwendet werden. Dennoch sollten auch diese Patches eingespielt werden, rät das Team. Eines der geschlossenen Lecks kann darüber hinaus verwendet werden, um ältere Versionen von OpenSSL anzugreifen und eine Memory Corruption zu provozieren.

Dieses Memory-Problem betrifft die OpenSSL-Versionen 1.0.1, 1.0.0 und 0.9.8. Daher sollten Nutzer von OpenSSL 0.9.8 DTLS auf 0.9.8za, Nutzer von OpenSSL 1.0.0 DTLS auf 1.0.0m und Nutzer von OpenSSL 1.0.1 DTLS auf 1.0.1h aktualisieren.

Zusammen mit dem Advisory warnt OpenSSL auch, dass der Support für die OpenSSL-Versionen 1.0.0 und 0.9.8 mit Ende dieses Jahres auslaufen werden. Nach dem 31. Dezember 2015 werden dann keine weiteren Sicherheitsupdates für diese Versionen veröffentlicht. Daher sollten Nutzer so bald wie möglich neuere Versionen von OpenSSL aufspielen.

Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Stunden ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Stunden ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

1 Tag ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago