Kritische Sicherheitslücke in OpenSSL

Über mehrere Sicherheitslücken beim SSL/TLS-Handshake kann ein externer Angreifer OpenSSL zum Absturz bringen. Vielen Administratoren steht eine Patch-Orgie ins Haus, da die Open-Source-SSL-Implementation in zahlreichen Betriebssystemen, Anwendungen und Appliances steckt.

Betroffen sind die OpenSSL-Versionen 0.9.6c bis 0.9.6k sowie 0.9.7a bis 0.9.7c. Auf Grund einer Null-Zeiger-Zuordnung in der Funktion do_change_cipher_spec() lässt sich OpenSSL über einen entsprechend präparierten SSL/TLS-Handshake zum Absturz bringen. Daneben kann der Angreifer OpenSSL auch über einen Begrenzungsfehler abschießen, der bei Verwendung der Kerberos-Ciphersuites auftritt. Eine weitere DoS-Lücke weisen bestimmte OpenSSL-0.9.6d-Installationen auf: Ein unlängst erfolgter Bugfix kann eine Endlosschleife verursachen, die OpenSSL ebenfalls aushebelt.

Die betroffenen Systeme müssen umgehend auf OpenSSL 0.9.7d oder 0.9.6m aktualisiert werden. Daneben sind auch alle OpenSSL-Anwendungen neu zu kompilieren, die statisch mit OpenSSL-Libraries gelinkt wurden. Zu den verbreitetsten Applikationen, die OpenSSL nutzen, zählen der Webserver Apache, der FTP-Server Wu-FTPd, der SMB-Server Samba sowie die MTAs Sendmail, Postfix und Qmail. Darüber hinaus stützen sich zahllose weitere Anwendungen sowie eine Vielzahl Linux/Unix-basierter Server- und Webappliances auf OpenSSL ab.

Nähere Informationen zur OpenSSL-Sicherheitslücke und die Download-Adressen der fehlerbereinigten Versionen finden Sie in unseren aktuellen tecCHANNEL-Security-Reports. (jlu)