Bei der in der neuen OpenSSL Version geschlossenen Sicherheitslücke soll es sich einen Designfehler im TLS-Protokoll bei der Neuaushandlung der Parameter einer bestehenden TLS-Verbindung, einer so genannten: TLS Renegotiation, handeln. Das Problem kann zu Beispiel auftreten, wenn ein Client versucht auf einen Webserver, in einen geschützten Bereich zu zugreifen und von dem Server ein SSL-Client-Zertifikat zur Authentifizierung anfordert wird.

Es hat den Anschein, dass das TLS-Protokoll keine eindeutig authentifizierte Zuordnung eines Client-Requests auf eine bestimmte URL zu dem anschließend ausgelieferten Client-Zertifikat vorsieht. Scheinbar akzeptiert der Server dieses als richtig. Fachleute haben festgestellt, dass sie Schwachstelle von den Entwicklern bei OpenSSL im Protokoll nicht gefixt wurde. Die Entwickler schalteten die TLS Renegotiation in der Voreinstellung aus.

Diese Maßnahme soll eine Neuaushandlung der Parameter verhindern. Da die Behebung der Ursache einige Wochen dauern kann, sollen mit der nun durchgeführten Maßnahme vermutlich die Folgen der Schwachstelle für Nutzer gemildert werden. Internet Nutzer die das Update für ihr System nutzen wollen, werden von Fachleuten zu erhöhter Wachsamkeit aufgerufen. Es wird vor dem Einspielen der neuen Version empfohlen, dass sie zuvor mit der Web-Applikation und allen verwendeten Clients getesteten wird.

Es kann nicht ausgeschlossen werden, dass es auch weiterhin zu Funktionsstörungen des Systems kommen kann, auch dann wenn die TLS Renegotiation verhindert wird.

letzten News

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code