Alert!

OpenSSL: Neue Version 1.1.1g schließt Denial-of-Service-Lücke

Die aktuelle Version der Kryptobibliothek schließt eine Sicherheitslücke, von der laut Entwicklern ein hohes Risiko ausgeht.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge

(Bild: openssl.org)

Von

Über eine Sicherheitslücke könnten Angreifer Anwendungen, die die Kryptobibliothek OpenSSL nutzen, zum Absturz bringen. Nun steht ein Update für OpenSSL bereit: Version 1.1.1g schließt die Lücke, deren Schweregrad das Entwicklerteam als "High" eingestuft hat.

Ein OpenSSL Security Advisory zu CVE-2020-1967 nennt technische Details zu der Lücke, die im Zuge eines TLS-1.3-Handshakes unter Übergabe speziell präparierter Daten an die Funktion SSL_check_chain() für Denial-of-Service-Angriffe ausgenutzt werden kann.

Als verwundbar wird im Advisory die Versionsreihe 1.1.1x ab einschließlich 1.1.1d aufwärts genannt. Nutzer älterer, nicht mehr unterstützter Versionen (1.0.2, 1.1.0) sollten – obgleich von dieser Lücke nicht betroffen – grundsätzlich auf 1.1.1(g) umsteigen.

Download-Quellen für die aktuelle Version nennt OpenSSL auf einer Übersichtsseite. Linux- und BSD-Nutzer sollten nach Hinweisen zu betroffenen Versionen und Updates beziehungsweise aktualisierten OpenSSL-Packages Ausschau halten, die CVE-2020-1967 beseitigen. In einigen Fällen sind bereits entsprechende Informationen verfügbar:

(ovw)