Die Entwickler von OpenSSL, das zuletzt durch die Sicherheitslücke Heartbleed für Furore sorgte, haben gleich
sieben weitere Lücken in der Kryptobibliothek geschlossen. Von den Schwachstellen betroffen sind die OpenSSL-Versionen 0.9.8, 1.0.0, 1.0.1. Die eine Schwachstelle erlaubte es Angreifern mithilfe einer Man-in-the-Middle-Attacke, den Datenverkehr zu entschlüsseln oder gar zu manipulieren. Bei zwei weiteren Sicherheitslücken konnten die Angreifer das DLTS-Protokoll dazu ausnutzen, beliebigen Code auf Client und Server auszuführen oder letzteren abstürzen zu lassen. Ein Absturz konnte auch durch zwei Bugs unter der Option SSL_MODE_RELEASE_BUFFERS herbeigeführt werden. Und ein ECDH-Cipher schliesslich konnte im anonymen Modus dazu missbraucht werden, einen Denial-of-Service zu provozieren. Die letzte Lücke betrifft einen Bug, der bereits in einem früheren Update behoben wurde.
(af)