Open Source im professionellen Einsatz

OpenSSL: Denial-of-Service-Attacke möglich

Wieder einmal wurde in OpenSSL eine kritische Sicherheitslücke entdeckt, deren Risko auch von den Entwicklern als hoch eingestuft wird.  Ein entfernter Angreifer kann die Schwachstelle ausnutzen, um Denial-of-Service-Attacken sowohl gegen OpenSSL-Server als auch -Clients auszuführen. Hierzu braucht der Angreifer sich nicht einmal anzumelden. Allerdings muss er eine SSL-Verbindung ohne Encrypt-then-Mac-Erweiterung durch einen Wiederverhandlungs-Handshake aushandeln, obwohl dies nicht im ursprünglichen Handshake enthalten war. In diesem Fall kann es dann zu einem Absturz im OpenSSL-Code kommen.

Die Schwachstelle wurde er der Version 1.1.0e korrigiert.

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.