15.10.2007 13:07
Sicherheitslücke in DTLS-Implementierung von OpenSSL
Die OpenSSL-Entwickler haben in der neuen Version 0.9.8f ihrer Verschlüsselungsbibliothek eine kritische Sicherheitslücke bei der Bearbeitung von DTLS-Verbindungen behoben. Durch sie können die Angreifer übers Netz unter Umständen beliebigen Schadcode einschleusen und verwundbare Systeme unter ihre Kontrolle bringen. DTLS steht für "Datagram TLS" und bezeichnet eine TLS-Variante für das UDP-Protokoll. Reguläre TLS- und SSL-Anwendungen basieren jedoch auf TCP und sind von dem Problem nicht betroffen.
Als von der IETF propagierter Standard für die Verbindungsverschlüsselung in der Internettelefonie dürfte DTLS in Zukunft eine wichtige Bedeutung erlangen. Auch in anderen Bereichen, etwa bei Media-Streaming und Gaming-Servern, sind eine Vielzahl von DTLS-Anwendungen zu erwarten. Doch bislang gibt es kaum Produkte, die DTLS unterstützen. Der Linux-Distributor Red Hat beispielsweise sah sich in seinem OpenSSL-Advisory zu dem Hinweis genötigt, dass zurzeit keines der von ihm bereitgestellten Pakete DTLS einsetzt.
Siehe dazu auch:
- OpenSSL Security Advisory [12-Oct-2007], Hinweise der Entwickler zur neuen Version
(cr)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
