Thema
OpenSSL
VMware-Patches für NFC, Java und SSL
VMware veröffentlicht aktualisierte Versionen für vCenter Server, ESXi und ESX, die zum Teil schon lange bekannte, kritische Lücken schließen.
OpenSSL 1.0 nun auch FIPS-zertifiziert
Die weit verbreitete Open-Source-Krypto-Bibliothek OpenSSL hat jetzt eine Zertifierung nach FIPS 140-2 erhalten. Sie ist allerdings mit einigen Haken versehen und nur mit Vorsicht zu genießen.
Neue OpenSSL-Version schliesst Sicherheitslücken im ASN1-Parser
Welche Applikationen konkret betroffen sind und was das dann bedeutet, lässt sich dem weitgehend verschlüsselten Advisory aber nicht wirklich entnehmen.
OpenSSL bessert Patch nach
Die OpenSSL-Entwickler haben eine Schwachstelle geschlossen, die vor zwei Wochen durch ein Update Einzug in das universellen Krypo-Werkzeug gehalten hat.
Sechs Sicherheitsmängel in OpenSSL gefixt
Die OpenSSL-Entwickler haben Updates veröffentlicht, die kritische Sicherheitslücken sowie weniger kritische Probleme beheben.
OpenSSL: Implementierung innerhalb eines Client- und Server-Programms, Teil 4 
Der in den vergangenen drei Artikeln herangereifte WOPR-Server spendierte jedem Client einen Handler als eigenständigen Betriebssystemprozess. Moderner lässt sich das mit Threads implementieren. Was gilt es beim Umstieg auf Threads zu beachten?
OpenSSL: Implementierung innerhalb eines Client- und Server-Programms, Teil 3
Den funktionalen Anwendungstest besteht das Gespann aus WOPR-Server und -Client aus den vergangenen beiden Artikeln ohne Probleme. WOPR macht das, was erwartet wird. Wie sieht es jedoch im Dauerbetrieb und unter Last aus?
Neue OpenSSL-Version behebt zwei Schwachstellen
Die Schwachstellen lassen sich zum Aufbauen unsicherer Verbindungen und zum unautorisierten Verbindungsaufbau missbrauchen.
Red Hat warnt vor Lücke in OpenSSL
Eine Race Condition im Parsing-Code für TLS-Erweiterungen soll sich missbrauchen lassen, um Code in einen Server zu schleusen und zu starten.
Schwachstelle in OpenSSL 1.0.x
Ein Fehler im OpenSSL-Zweig 1.0 lässt sich möglicherweise ausnutzen, um einen Client zu kompromittieren.
OpenSSL: Implementierung innerhalb eines Client- und Server-Programms, Teil 1
In C/C++-Programmen lässt sich mit OpenSSL verschlüsselte, sichere Netzkommunikation einfach realisieren. heise Developer stellt in einem Zweiteiler die Implementierung eines Client- und Server-Programms vor. Den Anfang macht die Serverprogrammierung.
OpenSSL-Updates beseitigen Schwachstellen
Die OpenSSL-Entwickler haben die Versionen 0.9.8o und 1.0.0a vorgelegt, in denen sie nur sicherheitsrelevante Probleme gelöst haben.
OpenSSL 1.0.0 ist da
Version 1.0.0 bringt viele neue Funktionen und Verbesserungen mit. Beispielsweise unterstützt OpenSSL nun den freien Hash-Algorithmus Whirlpool und die Ciphersuite GOST.
"Record of Death" legt OpenSSL-Server lahm
Präparierte TLS-Pakete können einen OpenSSL-Server oder -Client zum Absturz bringen. Ein Update behebt den Fehler.
Erfolgreicher Hardwareangriff auf RSA-Implementierung
Forscher haben gezeigt, wie sich in einem speziellen Fall aus gewissen fehlerhaften RSA-Signaturen der geheime Schlüssel berechnen lässt. Die Praxisrelevanz des Angriffs ist jedoch fraglich.
Lösung für Schwachstelle im Design von SSL/TLS in Sicht
Eine Erweiterung des TLS-Protokolls soll die im vergangenen Jahr bekannt gewordene TLS-Renegotiation-Schwachstelle beseitigen. Angreifer können dann keine eigenen Pakete mehr in gesicherte Verbindungen einschleusen.
TLS-Renegotiation-Schwachstelle erklärt
Anhand einfacher Grafiken zeigt Thierry Zoller, wie sich die TLS-Renegotiation-Schwachstelle ausnutzen lässt.
OpenSSL fixt TLS-Schwachstelle
Eine neue Version der Crypto-Bibliothek OpenSSL behebt zwar die kürzlich bekannt gewordene Schwachtelle in TLS nicht, verhindert aber mögliche Angriffe darauf.
E-Mail-Verschlüsselung austesten
Für Diagnose-Zwecke ist es sehr nützlich, mit dem SMTP- oder IMAP-Server direkt zu sprechen. Wenn Verschlüsselung im Spiel ist, geht das zwar nicht mehr ganz so einfach – aber mit den richtigen Tools ist es kein Hexenwerk.
OpenSSL 1.0.0 (Beta1) veröffentlicht
Obwohl Versionsnummer und Datum darauf schließen lassen könnten - es handelt sich nicht um einen Aprilscherz: Die OpenSSL-Entwickler haben Version 1.0.0 (beta1) veröffentlicht. Bahnbrechende Änderungen bringt die Version jedoch nicht.
Sicherheits-Update für OpenSSL
Die OpenSSL-Entwickler haben Version 0.9.8k vorgelegt, in der drei Schwachstellen in der Zertifikatsverarbeitung beseitigt sind.
OpenSSL lässt sich gefälschte Zertifikate unterschieben [Update]
Ein Update auf Version 0.9.8j behebt das Problem. Auch der Hersteller des Nameservers BIND hat ein Update veröffentlicht, um Spoofing in DNSSEC-gesicherten Zonen zu verhindern.
heise online Themen