Open Source im professionellen Einsatz

OpenSSL-Attacke

 Eine Sicherheitslücke in OpenSSL hat zur Folge, dass ein entfernter Angreifer TLS-Verbindungen entschlüsseln kann. Das Problem tritt während des Schlüssel-Austauschs via Diffie-Hellman (DH)-Verfahren auf, wenn die »dh_rfc5114«-Option verwendet wird. In diesem Fall werden zur Verschlüsselung Primzahlen verwendet, die es dem Angreifer erlauben den privaten DH-Exponenten zu bestimmen. Dies führt zu einem ernsten Problem, wenn zusätzlich auch die »SSL_OP_SINGLE_DH_USE«-Option aktiviert ist. In diesem Fall verwendet der Server ständig diesen DH-Exponenten, wodurch der Angreifer Zugriff auf verschlüsselte Verbindungen erlangen kann.

Betroffen sind die Versionen 1.0.1 und 1.0.2.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.