OpenSSL: Drown und Cachebleed gefährden Webserver
Die neuen OpenSSL Versionen 1.0.2g und 1.0.1s beheben eine Reihe von Sicherheitslücken. Sicherheitsforscher heben vor allem die mit DROWN und Cachebleed benannten Schwachstellen hervor:
DROWN
Unter der DROWN Lücke leiden nach Angaben der Entdecker mehr als ein Drittel aller Webserver, auch sehr bekannte Namen finden sich in der Liste. Die Attacke funktioniert auf Basis des veralteten und nicht mehr benutzten SSL2 Protokolls, welches allerdings in vielen Fällen noch auf den Servern aktiviert ist. Selbst wenn dies nicht der Fall ist, können Angreifer über die Drown Lücke Angriffe auf Server fahren, deren Zertifikate mit dem gleichen RSA-Schlüssel wie die eines SSL2 Servers erstellt wurden. Wie SSL2 für verschiedene Serverprodukte sicher deaktiviert werden kann, beschreiben die Entwickler im Detail. OpenSSL Administratoren müssen nur auf die jeweils neuen Versionen updaten.
Cachebleed
Der Cache auf Intel Prozessoren der Sandy-Bridge Serie kann laut Sicherheitsforschern durch Erzeugen von Cache Konflikten dazu missbraucht werden, die Verschlüsselung zu belauschen und den privaten Schlüssel zu klauen. Die neuere Haswell Architektur von Intel ist offenbar nicht gefährdert. Andere CPU Serien wurden nicht untersucht. OpenSSL Administratoren können die eben veröffentlichten Updates einspielen, die Forscher warnen aber davor, daß auch andere Kryptobibliotheken betroffen sein könnten. Hardwareseitig hilft ein Abschalten der Hyperthreading Funktion der CPU im Bios des Servers.
Zur Seite ...
Textquellen & Links
Mehr Infos finden Sie hier:
OpenSSL Security Advisory
DROWN Attack Description
Cachebleed Description
Möchten Sie ein Angebot erhalten?
Dann informieren Sie uns über Ihre Anforderungen, schildern uns Ihre Ideen und einer unserer Mitarbeiter führt mit Ihnen eine Erstberatung durch.
Danach legen wir Ihnen ein Grobkonzept und ein unverbindliches detailliert aufgeschlüsseltes Kostenangebot vor.
Tel: +43 1 8698400
E-Mail: office@iphos.com
Unternehmen
Ein starkes internationales Unternehmen – für die besten IT Lösungen. Iphos IT Solutions bietet seinen Kunden einen Full Service in den Bereichen EDV / IT / ITSM, Softwareentwicklung & Web. – Schneller, kosteneffizienter & kompetenter.
IT-Infrastruktur
Als ganzheitlicher & nachhaltiger Dienstleister bieten wir top EDV Lösungen für Wartung, Consulting, Netzwerke, Exchange-, Linux- & Windows Server, u.v.m.
Softwareentwicklung
State-of-the-Art Softwareentwicklung aus Wien: wir arbeiten als nachhaltige & ganzheitliche IT Firma an Ihrer besten individuellen Lösung in den Bereichen Applikationsentwicklung, mobile Softwareentwicklung, Interfaceentwicklung & Datenbankentwicklung.
Webentwicklung
Webentwicklung neu gedacht: Wir entwickeln Intranets & Extranets, Websites, E-Commerce, Online-Tarifrechner, Newsletter-Systeme & bieten klassische Dienstleistungen wie SEO, SEM, etc. Damit Ihr Business besser läuft.