Open Source im professionellen Einsatz

DROWN: Lücke im TLS-/SSL-Protokoll

02.03.2016

Die Sicherheitslücke mit dem Namen „Decrypting RSA with Obsolete and Weakened Encryption“, kurz DROWN nutzt eine alte Angriffsmethode, um vermeintlich verschlüsselte Daten mitlesen zu können.

156

Das Sicherheitsproblem DROWN (CVE-2016-0800) nutzt den Umstand aus, dass viele mittels TLS gesicherte Server aus Kompatibilitätsgründen noch SSLv2 zulassen. Das aus den 90er Jahren stammende SSLv2 gilt inzwischen als extrem unsicher, laut den Sicherheitsexperten, die DROWN erforscht haben, spielte dies bislang keine Rolle, weil kein Client SSLv2 nutzt. Mit der von ihnen beschriebenen Methode, sich über manipulierte SSLv2-Proben einzuschleichen, gilt dies nun nicht mehr.

Server die den gleichen öffentlichen Schlüssel für mehrere Dienste nutzen und gleichzeitig noch SSLv2 erlauben, sind angreifbar. Bei der Mehrfachnutzung des gleichen Schlüssels sind auch TLS-geschützte Server angreifbar, wenn im Netz ein weiterer Server noch SSLv2 erlaubt.

Die Lösung für betroffene Admins und den laut den Forschern in stattlicher Zahl zu findenden angreifbaren Servern lautet, ein Update auf OpenSSL 1.0.2 g oder 1.0.1s für ältere Versionen einzuspielen. Bei anderen Versionen ist das Update auf eine dieser beiden empfohlen. Damit wird SSLV2 deaktiviert.

Ähnliche Artikel

  • IPFire 2.17 Core Update 90 veröffentlicht

    Die für den Betrieb als Firewall ausgelegte Linux-Distribution IPFire 2.17 haben die Entwickler aktualisiert und ihr dabei auch gleich noch ein paar interessante neue Features spendiert. Unter anderem bietet sie jetzt eine Filterung anhand von geografischen Daten.

  • Google: Abschied von SSLv3 und RC4 auf Raten

    Google will sich von SSLv3 und RC4 trennen, das kündigte der Security-Ingenieur Adam Langley in Googles Online-Security-Blog an. Konkrete Zeitpunkte nennt das Unternehmen nicht, dafür gibt es Tipps und Hilfe für Admins.

  • Trend Micro meldet neue Lücke bei Android

    Sicherheitsexperte Trend Micro berichtet von einer Sicherheitslücke in Android, die genutzt werden kann, um damit betriebene Smartphones unbrauchbar zu machen

  • Stressfrei

    Anfang Mai erschien die jährliche stabile Postfix-Release. Schon allein der vollautomatische Antistress-Modus liefert Gründe genug für einen genauen Blick auf die Details.

  • Einführung

    Wer wie Charly Kühnast SSL-gesicherte Server zu beaufsichtigen hat, kann das heute vorgestellte Tool gut gebrauchen. Es untersucht, ob das komplette Sicherheitspersonal noch auf der Höhe der Zeit ist.

comments powered by Disqus

Ausgabe 09/2016

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.