Sicherheitsupdates für die Krypto-Bibliothek stopfen eine Reihe von Löchern. Darunter befindet sich auch die Logjam-Lücke, die Angriffe auf den Diffie-Hellman-Schlüsselaustausch erlaubt.
Die Entwickler der beliebten Krypto-Bibliothek OpenSSL haben mit einem neuen Release insgesamt sieben verschiedene Sicherheitslücken in ihrer Software gestopft. Eine davon ermöglichte einen Logjam-Angriff auf OpenSSL und damit eine Zurückstufung des Diffie-Hellman-Schlüsselaustausches auf ein unsicheres Niveau durch einen Man-in-the-Middle. Die neuen OpenSSL-Versionen verhindern dies, indem sie Diffie-Hellman mit 768 Bit voraussetzen. In einer späteren Version der Software soll dies dann noch einmal auf 1024 Bit erhöht werden, um wirklich auf Nummer Sicher zu gehen.
Die übrigen sechs Lücken sind unkritischer und werden von den Entwicklern als moderates oder niedriges Risiko eingeschätzt. Dabei handelte es sich überwiegend über Speicherverarbeitungsprobleme, die zu einem Absturz der Software führen können ? eventuell wäre in einigen Fällen dann auch das Ausführen von Schadcode möglich. Außerdem wurden mehrere Probleme behoben, durch die ein Angreifer den OpenSSL-Prozess blockieren kann, so dass dieser nicht mehr ansprechbar ist.
Die neuen OpenSSL-Versionen können von der Webseite des Projektes heruntergeladen werden. Je nach eingesetztem Entwicklungszweig sollten Admins ihre Systeme auf OpenSSL 1.0.2b, 1.0.1n, 1.0.0s oder 0.9.8zg aktualisieren. (fab)