GlobalSign Blog

19 Mär 2015

Neue Schwachstelle in OpenSSL gefunden

Sie erinnern sich vielleicht noch an die Heartbleed Schwachstelle vom April letztes Jahr? Als Folge daraus wurde die Initiative ergriffen, die OpenSSL Kryptografie Libary zu verbessern, um ähnliche Vorfälle in Zukunft zu verhindern oder zumindest einzuschränken.

Am Montag hat ein OpenSSL Team-Mitglied bekanntgegeben, dass sie eine Anzahl an neuen OpenSSL Versionen auf den Markt bringen werden, um einigen Sicherheitsrisiken, zwei davon wurden als stark risikoreich beschrieben, entgegen zu wirken.

Heute hat OpenSSL ein Sicherheitsgutachten veröffentlicht, was auch eine Schwachstelle anspricht, die es einem Angreifer ermöglicht eine Denial-of-Service Attacke gegen einen Server mit OpenSSL Software (V 1.0.2) auszuführen. Im Sicherheitsgutachten wurden 14 Meldungen bekannt gegeben, zwei davon mit hohem Risiko, 9 moderat und 3 niedrig.

Sicherheitsmangel mit hohem Risiko

Um es schon einmal vornweg zu nehmen, die zwei Schwachstellen mit hohem Risiko haben keine direkte Auswirkung auf die Zertifikate selbst. Viel mehr betreffen sie die Regeln, die ein Client und der Server befolgen, um eine sichere Verbindung herzustellen.

Das Problem liegt in der beliebten Open Source Kryptografie Library mit dem Namen OpenSSL, die im Internet weit verbreitet ist.

1)    CVE-2015-0291 – „ClientHello sigalgs DoS“

Wenn ein Client sich mit einem Server verbindet, der OpenSSL 1.0.2 nutzt und dabei eine ungültige Erweiterung des Signaturalgorithmus benutzt, führt das zu einer NULL Pointer Dereference, die möglicherweise in einer DOS Attacke auf den Server ausgenutzt werden kann.

Dieses Problem betrifft OpenSSL Version 1.0.2. OpenSSL 1.0.2 Nutzer sollten ein Upgrade auf 1.0.2a durchführen.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0291

2)    CVE-2015-0204 – „RSA downgrades ohne Ankündigung auf EXPORT_RSA“

Die Schwachstelle nutzt Clients aus, die RSA Export Cipher Suites unterstützen, und ist daher für MITM Attacken anfällig. Die Sicherheitslücke wurde ursprünglich im Oktober 2014 entdeckt, aber wurde nur als geringes Sicherheitsrisiko eingeschätzt. Es wird mittlerweile jedoch als hohes Risiko gesehen, dank neuen Studien (z.B. über die FREAK Schwachstelle vom letzten Monat) die zeigen, dass RSA Cipher Suites Unterstützung nicht so selten ist, wie zunächst angenommen wurde.

Diese Schwachstelle betrifft die OpenSSL Versionen: 1.0.1, 1.0.0 und 0.9.8.
OpenSSL 1.0.1 Nutzer sollten ein Upgrade auf 1.0.1k durchführen.
OpenSSL 1.0.0 Nutzer sollten ein Upgrade 1.0.0p durchführen.
OpenSSL 0.9.8 Nutzer sollten ein Upgrade 0.9.8zd durchführen.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204

Lösung

OpenSSL Nutzer sollten auf die aktuellste Version von OpenSSL umstellen. Zusätzlich sollten Nutzer Ihre Softwareanbieter nach den aktuellen Sicherheitsgutachten und verfügbaren Updates fragen.

  • OpenSSL 1.0.2 Nutzer sollten ein Upgrade auf 1.0.2a durchführen.
  • OpenSSL 1.0.1 Nutzer sollten ein Upgrade auf 1.0.1m durchführen.
  • OpenSSL 1.0.0 Nutzer sollten ein Upgrade auf 1.0.0r durchführen.
  • OpenSSL 0.9.8 Nutzer sollten ein Upgrade auf 0.9.8zf durchführen.

Details über die letzten Veröffentlichungen und Sicherheitsschwachstellen können Sie im OpenSSL's Security Advisory nachlesen.

Quellen:

https://mta.openssl.org/pipermail/openssl-announce/2015-March/000020.html
http://krebsonsecurity.com/2015/03/openssl-patch-to-plug-severe-security-holes/
http://www.bit-tech.net/news/bits/2015/03/17/openssl-vulnerability/1
http://www.theregister.co.uk/2015/03/10/openssl_audit/
http://thehackernews.com/2015/03/openssl-vulnerabilities-patch.html
http://securityaffairs.co/wordpress/34991/security/openssl-announce-new-releases.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
https://www.openssl.org/news/secadv_20150319.txt
https://threatpost.com/openssl-mystery-patch-is-no-heartbleed/111708
http://www.zdnet.com/article/openssl-patches-high-severity-flaw-in-latest-release/

Artikel teilen