Globalsign empfiehlt Sicherheitsmaßnahmen zu aktuellen OpenSSL-Bugs
Neue Sicherheitslücken in OpenSSL identifiziert
Vergangene Woche (5 Juni 2014) wurde ein neues "Security Advisory" (www.openssl.org/news/secadv_20140605.txt) von OpenSSL veröffentlicht, das sechs neue Sicherheitslücken verzeichnet. Im Gegensatz zu Heartbleed, der OpenSSL-Sicherheitslücke, die im April 2014 identifiziert wurde, ist das Schlüsselmaterial digitaler Zertifikate nicht anfällig für die Gefährdung. Eine mögliche Ausnahme besteht allerdings, wenn man mit DTLS (Datagram Transport Layer Security) arbeitet, so Globalsign, eine weltweit agierende Certificate Authority (CA) für Unternehmen und Anbieter von SSL-Zertifikaten sowie Identitätsdiensten.
Zu den neu identifizierten Sicherheitslücken gehören ein SSL/TLS-Bug, der es einem Angreifer erlaube, einen Man-in-the-Middle-Angriff (MITM) durchzuführen, der zur Exposition sensibler Daten führen kann, sowie eine DTLS-Sicherheitslücke, die die Injektion von bösartigem Code in anfällige Software und Geräte ermögliche.
Heartbleed Detector für Android
Fireeye: Keine Entwarnung bei OpenSSL-Schwachstelle
Trotz Heartbleed: Plädoyer für den Einsatz von SSL
Online-Test der Heartbleed-Sicherheitslücke
Globalsign empfiehlt folgende Maßnahmen:
– Wir raten allen OpenSSL-Benutzern, ihre Systeme sofort mit den von OpenSSL bereitgestellten Patches und Empfehlungen zu aktualisieren.
– Wenn Sie nicht mit DTLS arbeiten, müssen Sie Zertifikate nicht neu ausstellen.
– Wenn Sie mit DTLS arbeiten, können einige zusätzliche Schritte erforderlich sein. Bitte wenden Sie sich an den Globalsign Support (support.globalsign.com/customer/portal/articles/1241466) für weitere Hinweise.
Empfohlene Upgrades aus dem “OpenSSL Security Advisory”:
– Benutzer von OpenSSL 0.9.8 SSL/TLS (Client und/oder Server) sollten auf 0.9.8za aktualisieren.
– Benutzer von OpenSSL 1.0.0 SSL/TLS (Client und/oder Server) sollten auf 1.0.0m aktualisieren.
– Benutzer von OpenSSL 1.0.1 SSL/TLS (Client und/oder Server) sollten auf 1.0.1h aktualisieren.
– Benutzer von OpenSSL 0.9.8 DTLS sollten auf 0.9.8za aktualisieren.
– Benutzer von OpenSSL 1.0.0 DTLS sollten auf 1.0.0m aktualisieren.
– Benutzer von OpenSSL 1.0.1 DTLS sollten auf 1.0.1h aktualisieren.
– Benutzer von OpenSSL 1.0.0 sollten auf 1.0.0m aktualisieren.
– Benutzer von OpenSSL 1.0.1 sollten auf 1.0.1h aktualisieren.
Alle Details zu den OpenSSL-Sicherheitslücken finden sich auf der OpenSSL Website (www.openssl.org/news/secadv_20140605.txt).
Weitere Informationen von Globalsign finden sich unter blog.globalsignblog.com/blog/security-advisory-new-openssl-vulnerabilities-identified.
Lesen Sie mehr zum Thema
