Alert!

Sicherheitsupdate: Lücke in OpenSSL macht Server für DoS-Attacken anfällig

Angreifer könnten Clients und Server mit OpenSSL attackieren. Das Sicherheitsrisiko gilt als hoch.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 56 Beiträge

(Bild: Photon photo/Shutterstock.com)

Von
  • Dennis Schirrmacher

Admins, die OpenSSL einsetzen, sollten die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls könnten Angreifer zwei Sicherheitslücken ausnutzen.

OpenSSL ist eine freie Software zur Implementierung von Netzwerkprotokollen und TLS-Verschlüsselung.

Die zwei Schwachstellen (CVE-2021-3449, CVE-2021-3450) gefährden ausschließlich die Versionen 1.1.1 bis 1.1.1j. Die Ausgabe 1.1.1k ist abgesichert. Beide Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft.

Nutzen Angreifer die Schwachstellen erfolgreich aus, könnten sie aufgrund einer unzureichenden Prüfung Zertifikate manipulieren. Außerdem ist es vorstellbar, dass sie Server in den Standardeinstellungen (TLS 1.2, Renegotation) mit einer präparierten ClientHello-Nachricht via DoS-Attacke aus dem Verkehr ziehen. Davor warnen die Entwickler im Sicherheitsbereich ihrer Website.

(des)