Open Source im professionellen Einsatz

Lücke in OpenSSL 1.1.0 braucht Patch

17.02.2017

In der Version OpenSSL 1.1.0 wurde eine Sicherheitslücke entdeckt, die mit einem Update auf Version 1.1.0e beseitigt wird.

97

Das Problem, das ein Red-Hat-Entwickler entdeckt hat, betrifft laut dem Advisory  (CVE-2017-3733) die ältere Version 1.0.2 nicht. Die Lücke ergibt sich aus einem Problem im erneuten Handshake in Verbindung mit der Encrypt-Then-Mac-Erweiterung, wenn diese zuvor nicht beteiligt war.

Das Problem lässt sich unter Umständen remote ausnutzen und betrifft Client und Server gleichermaßen. Die Entwickler weisen vorsorglich darauf hin, dass die Version 1.0.1 seit Dezember 2016 veraltet ist und keine Sicherheitsupdates mehr bekommt. Für OpenSSL 0.98 und 1.0.0 gilt dies schon länger.

OpenSSL 1.1.0e, das die Lücke schließt, steht beim Projekt zum Download.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 04/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.