Open SSL 1.1.1 überzeugt im Sicherheitsaudit

- 22. Januar 2019

Die Ostif und Quarkslab haben Open SSL 1.1.1 einem Audit unterzogen. Den Fokus legten die Sicherheitsforscher auf die neuen TLS-1.3-Features und die Änderungen am Pseudo Random Number Generator (PRNG).

Gute Nachrichten für Open-SSL-Nutzer und -Entwickler: Ein unabhängiger Audit bestätigt der Version 1.1.1, keine ernsten Probleme mit sich zu bringen. Der Code ließe sich zwar an einigen Stellen noch optimieren, sei aber “funktional, sicher und schnell”, hieß es im Fazit zur Untersuchung.

Diese konzentrierte sich vor allem auf die neuen Features für TLS 1.3 und den überarbeiteten PRNG. Das Audit-Team fand laut einem Blogpost nur kleinere clientseitige Denial-of-Service-Schwachstellen. Über die hätten Angreifer Open SSL zum Absturz bringen können. Auch das Alerting beim Scheitern von Verbindungen und im Zusammenhang mit TLS 1.3 wies kleinere Fehler auf.

Der neue Pseudo Random Number Generator und das SRP-Authentifizierungsprotokoll sind korrekt implementiert, der Code ließe sich aber noch mit hilfreichen Kommentaren und eindeutiger benannten Funktionen verbessern.

NULL-Checks fehlen

An einigen internen Funktionen fehlen im Code auch NULL-Checks: Software verhält sich mitunter unberechenbar, wenn NULL-Werte übergeben werden.
Die fehlenden NULL-Checks seien allerdings Absicht, um die Performance zu verbessern, argumentierten die Open-SSL-Entwickler. Unabhängige Experten bestätigten den Security-Forschern, dass es unwahrscheinlich sei, dass ihr Fehlen den von Außen nicht aufrufbaren Code tangiere.

Der unter anderem von Private Internet Access und Duckduckgo gesponserte Audit führte am Ende zu 16 Empfehlungen und Änderungen an Open SSL. Die Software soll künftig zudem Teil eines Bug-Bounty-Programms werden. Der vollständige Test lässt sich in einem PDF nachlesen.

SCHLAGWORTE
Open SSL
Sicherheit

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen