THEMEN

TLS Schwachstelle wird von OpenSSL gefixt
Veröffentlicht am Montag, 09.November 2009 von Redaktion


Um eine seit dem 4.November im SSL/TLS-Protokoll bekannte Sicherheitslücke zu schließen, haben die Entwickler des OpenSSL Project mit der Version OpenSSL 0.9.8l reagiert. Mit der Version OpenSSL 0.9.8l soll es nun möglich sein potentielle Angriffe abzuwehren.



Bei der in der neuen OpenSSL Version geschlossenen Sicherheitslücke soll es sich einen Designfehler im TLS-Protokoll bei der Neuaushandlung der Parameter einer bestehenden TLS-Verbindung, einer so genannten: TLS Renegotiation, handeln. Das Problem kann zu Beispiel auftreten, wenn ein Client versucht auf einen Webserver, in einen geschützten Bereich zu zugreifen und von dem Server ein SSL-Client-Zertifikat zur Authentifizierung anfordert wird.

Es hat den Anschein, dass das TLS-Protokoll keine eindeutig authentifizierte Zuordnung eines Client-Requests auf eine bestimmte URL zu dem anschließend ausgelieferten Client-Zertifikat vorsieht. Scheinbar akzeptiert der Server dieses als richtig. Fachleute haben festgestellt, dass sie Schwachstelle von den Entwicklern bei OpenSSL im Protokoll nicht gefixt wurde. Die Entwickler schalteten die TLS Renegotiation in der Voreinstellung aus.

Diese Maßnahme soll eine Neuaushandlung der Parameter verhindern. Da die Behebung der Ursache einige Wochen dauern kann, sollen mit der nun durchgeführten Maßnahme vermutlich die Folgen der Schwachstelle für Nutzer gemildert werden. Internet Nutzer die das Update für ihr System nutzen wollen, werden von Fachleuten zu erhöhter Wachsamkeit aufgerufen. Es wird vor dem Einspielen der neuen Version empfohlen, dass sie zuvor mit der Web-Applikation und allen verwendeten Clients getesteten wird.

Es kann nicht ausgeschlossen werden, dass es auch weiterhin zu Funktionsstörungen des Systems kommen kann, auch dann wenn die TLS Renegotiation verhindert wird.






letzten News

  So schützt man sich wirksam vor DDoS-Attacken wenn der Server den Dienst versagt
  Schaedlinge im Netz So wird trotzdem sicher gesurft
  Gefahren aus dem Internet erkennen und vorbeugen
  Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest
  Panda Cloud Fusion bietet ganzheitliche IT Security

Kommentar:
Kommentare werden erst geprüft und dann freigeschaltet.

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code Security Code
  VIREN TICKER
weitere Informationen:
Bitdefender
CA eTrust