OpenSSL beseitigt zwei gravierende Schwachstellen

Das OpenSSL-Projekt hat seine freie Software für Transport Layer Security (TLS) aktualisiert. Im Zuge des Updates wurden auch wie bereist vergangene Woche angekündigt zwei gravierende Schwachstellen behoben. Die Patches korrigieren gleichzeitig eine Reihe weniger schwerwiegender Fehler. Mit den OpenSSL-Ausgaben 1.0.2h sowie 1.0.1t sollen nun alle aktuell bekannten Sicherheitslücken beseitigt sein.

Das erste schwere Leck ist eine neue Form der Man-in-the-Middle-Attacke, die als Padding-Oracle-Angriff bekannt ist und die Dechiffrierung von Datenverkehr ermöglicht. Sie wurde von Juraj Somorovsky von der Ruhr-Universität Bochum gemeldet, der herausfand, dass die Überprüfung der Padding-Bytes nicht immer wie erwartet erfolgt.

Im Jahr 2013 wurde der Fehler paradoxerweise durch die Korrektur eines anderen Padding-Oracle-Bug namens Lucky 13 hervorgerufen. Diese Fehlerkorrektur führte ungewollt dazu, dass OpenSSL eine Überprüfung nicht mehr ausführt, die andere Arten von Oracle-Attacken verhindern soll. Die neue Schwachstelle ist dann gegeben, wenn Verbindungen ein AES-CBC-Verfahren verwenden und der Server AES-NI-Verschlüsselung unterstützt. Da ältere TLS-Verfahren noch größtenteils eingesetzt werden, könnte eine von vier Verbindungen anfällig sein.

Die Entwickler schätzen zudem eine Memory-Corruption-Lücke als hohes Risiko ein, die durch das Zusammenwirken von zwei für sich genommen harmlosen Fehlern im ASN.1-Encoder hervorgerufen wird. Eigentlich wurden die bereits im vergangenen Jahr beseitigt,. Damals wurde jedoch außer Acht gelassen, dass die Kombination der beiden jeweils für sich genommen wenig schweren Fehler eine größere Gefahr für die Sicherheit darstellt. Durch sie könnte Angreifern die Ausführung schadhaften Codes möglich sein. Andererseits ist die Lücke in der Praxis nur schwer auszunutzen, da mehrere Voraussetzungen dies erschweren.

Zumindest teilweise führen die Experten die beiden schweren Fehler darauf zurück, dass OpenSSL noch ältere Verschlüsselungsverfahren unterstützt. “Beide Bugs sind das Ergebnis komplexer Legacy-Interoperabilität”, zitiert Ars Technica dazu den Sicherheitsforscher Kenn White. “Dieses grundlegende Problem wird durch das Abrücken von bekannt gefährlichen Protokoll-Konstruktionen wie CBC zu beheben sein, das unter TLS 1.3 obligatorisch ist, sowie die Entwicklung und Übernahme weit weniger komplexer Software für Encoding und Parsing.”

[mit Material von Bernd Kling, ZDNet.de]