Open Source im professionellen Einsatz

OpenSSL warnt vor falschem Upgrade

26.09.2016

Das OpenSSL-Team hat ein Security-Advisory herausgegeben, das vor dem Upgrade auf die jüngst veröffentlichte Version OpenSSL 1.1.0a warnt.

169

Nutzer sollten stattdessen die aktualisierte Version OpenSSL 1.1.0b einspielen, die inzwischen bereit steht. Grund für das neuerliche Advisory für Version 1.1.0x ist der Umstand, das die am 22. September wegen einer kritischen Lücke gepatchte Version keinen verlässlichen Schutz gegen einen Angriff bietet. Ein Google-Sicherheitsexperte hatte die neuerliche Lücke (CVE-2016-6309) entdeckt und gemeldet. Sie resultiert aus dem Umstand, dass beim Patchen der ursprünglichen Lücke ein Pointer vergessen wurde, der das Ausnutzen nach wie vor erlaubt. Ein Angriff könnte einen Crash hervorrufen oder möglicherweise das Ausführen von Code erlauben, weshalb die Lücke als kritisch eingestuft ist.

Im Advisory wird ein weiteres Problem beschrieben, das Version 1.0.2i betrifft. Diese Version wurde beim Patchen versehentlich nicht berücksichtigt und ohne einen in Version 1.1.0 eingespielten CRL-Check veröffentlicht. Damit führe jeder Versuch, CRLs in dieser Version zu benutzen, zum Absturz. Das Problem (CVE-2016-7052) mit der Prüfung der Zertifikatssperrliste gilt als moderat. Nutzer sollten auf OpenSSL 1.0.2j updaten, lautet die Empfehlung.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.