81182

Fehler im Krypto-Protokoll OpenSSL

25.09.2006 | 12:04 Uhr |

Forschern ist es gelungen, die Software mit gefälschten Zertifikaten auszutricksen.

OpenSSL wird häufig verwendet, um virtuelle private Netze (VPNs) oder den Zugriff auf Web-Server abzusichern. Die Schwachstelle betrifft den "Public Key Cryptography Standard (PKCS) #1 v1.5". Ein Angreifer könnte sie ausnutzen, um einem Server ein gefälschtes Zertifikat als echt unterzujubeln und sich so unberechtigt Zugriff auf Systeme zu verschaffen. Dieses Problem existiert in den Versionen 0.9.7j bis 0.9.8b von OpenSSL.

Daniel Bleichenbacher, ein Forscher der Bell Labs, hatte den Fehler entdeckt. Bereits vor einem Monat wurde auf der Konferenz "Crypto 2006" demonstriert, wie sich das Problem ausnutzen lässt. Die OpenSSL-Group hat inzwischen neuere Versionen ihrer Software entwickelt, in denen der Fehler bereingt ist. Anwender sollten ihre Systeme unbedingt aktualisieren. (ave)

0 Kommentare zu diesem Artikel
81182