Alert!

Krypto-API Bouncy Castle: Angreifer könnten Passwort-Check stören

Es gibt ein wichtiges Sicherheitsupdate für Bouncy Castle.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 18 Beiträge

(Bild: AFANASEV IVAN/Shutterstock.com)

Von
  • Dennis Schirrmacher

Aufgrund einer Lücke in der Krypto-API Bouncy Castle könnten Angreifer den Passwort-Check aufheben und so Websites effektiver mit Brute-Force-Attacken angreifen. Eine abgesicherte Version steht zum Download bereit.

Der Fehler findet sich in der OpenBSDBcrypt-Klasse, die auf den Bcrypt-Algorithmus zum Speichern von Passwörtern setzt. Kommt das beispielsweise auf einer Website zum Einsatz, sind Kennwörter in der Regel optimal vor Hacker-Attacken geschützt.

Versucht ein Angreifer durch tausendfaches wahlloses Ausprobieren von Zeichenkombination Passwörter zu erraten, um sich zum Beispiel im Admin-Bereich einzuloggen, funkt Bcrypt dazwischen.

Mittels der Durchführung vieler Iterationen von Hash-Operationen fordert der Algorithmus für einen Passwort-Gegencheck absichtlich viele Ressourcen ein. So kann ein Angreifer zeitlich gesehen nur vergleichsweise wenig Passwörter pro Sekunde ausprobieren und Brute-Force-Attacken sind nicht effektiv.

Aufgrund des Fehlers könnten Angreifer diesen Check umgehen, warnen Sicherheitsforscher von Synopsys in einem Beitrag. Ihnen zufolge betrifft die mit dem Bedrohungsgrad "hoch" eingestufte Sicherheitslücke (CVE-2020-28052) ausschließlich die Bouncy-Castle-Versionen 1.65 und 1.66. Die Ausgabe 1.67 ist repariert.

(des)