Schwachstellen in OpenSSL gefunden

1 April 2021

In OpenSSL, der häufig verwendeten Software zum Einrichten von HTTPS-Verbindungen, wurden kürzlich zwei Schwachstellen gefunden, die zu einer eingeschränkten Zugänglichkeit von Websites führen können. Verwenden Sie OpenSSL? Überprüfen Sie Ihre OpenSSL-Version, damit Sie bei Bedarf schnell aktualisieren können.

Was genau ist da los?

Auf der weit verbreiteten Plattform Github wurde Ende März ein Proof-of-Concept-Exploit veröffentlicht, in dem zwei gefundene Sicherheitslücken demonstriert werden. Eine Schwachstelle besteht in der Implementierung von TLS-Renegotiation (CVE-2021-3449), die für einen DoS-Angriff (Denial of Service) ausgenutzt werden kann, der zu einem Serverabsturz führt. Die zweite Sicherheitsanfälligkeit (CVE-2021-3450) ermöglicht einen Man-in-the-Middle-Angriff, bei dem Informationen eingesehen und verändert werden können.

Was sind die Auswirkungen?

Das National Cyber Security Center (NCSC) hat das Risiko dieser Sicherheitslücken als "hoch" eingestuft, da die Wahrscheinlichkeit eines kurzfristigen Missbrauchs und der mögliche Schaden hoch sind. OpenSSL 1.1.1 und darunter sind angreifbar, OpenSSL 1.0.2 ist nicht angreifbar. Server sind verwundbar, wenn TLSv1.2 und Renegotiation aktiviert sind, was die Standardkonfiguration ist.

Was können Sie tun?

Das OpenSSL-Projektteam hat ein Sicherheitsupdate für die beiden Sicherheitslücken in OpenSSL veröffentlicht. Verwenden Sie OpenSSL Version 1.1.1j oder niedriger? Aktualisieren Sie so schnell wie möglich auf Version 1.1.1k.