Open Source im professionellen Einsatz

OpenSSL-Bug: Falsche Zertifikate

 Eine Sicherheitslücke in der OpenSSL-Bibliothek führt dazu, dass ein entfernter eigene Zertifikate für beliebige Domains ausstellen kann. Der Patch für diese Schwachstelle wurde schon vorab von Mark Cox am 6. July auf OpenSSL-Announce angekündigt bevor das eigentliche Advisory herauskam. Das Problem besteht darin, dass OpenSSL das CA-Flag von Zertifikaten unter bestimmten Umständen nicht richtig kontrolliert. Dadurch kann sich ein entfernter Angreifer als Intermediate-CA ausgeben und so eigene Zertifikate für fremde Webseiten signieren. Die Schwachstelle tritt bei Zertifikat-Ketten auf. Eigentlich sollte bei solchen Ketten sichergestellt werden, dass jedes Zertifikat die Rechte hat, Zertifikate auszustellen. Genau dies markiert das CA-Flag. Aber dieser Mechanismus greift bei der fehlerhaften OpenSSL-Version nicht mehr. Betroffen sind die Versionen OpenSSL 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.