07/12 2015

Neue OpenSSL Lücke: „OprahSSL“

Vor wenigen Tagen haben die Entwickler der OpenSSL-Bibliothek eine neue Version bereitgestellt, die eine kritische Lücke stopft. In angreifbaren Versionen von OpenSSL war es möglich, in bestimmten Szenarien das CA-Flag zum umgehen. Angreifer haben so unter bestimmten Umständen die Möglichkeit, selbst als „CA“ aufzutreten und gefälschte SSL-Zertifikate als gültig vorzugaukeln.

Die neue Lücke in Open SSL hat jedoch in der Praxis ein eingeschränktes Gefahrenpotenzial: Um sich der Lücke zu bemächtigen, setzen Angriffszenarien auf Seite des Clients an. Hier kommt OpenSSL kaum zum Einsatz. Die OpenSSL-Bibliothek ist eine häufig verbreitete Server-Komponente. Jedoch findet OpenSSL häufig in anderen Heimnetz-Komponenten wie Routern Verwendung.

Das Man-in-the-Middle-Szenario, was sich durch Ausnützen der Lücke ergibt, wurde zwischenzeitlich von der Community „OprahSSL“ getauft. Weitere Informationen zu der Lücke und den Hintergründen lesen Sie auch hier.