Home Suche News IT Tipps u. Tricks Das Wetter Links u. Downloads ueber mich Impressum | |||||
News » OpenSSL-Signaturen lassen sich fälschen | |||||
|
OpenSSL-Signaturen lassen sich fälschenOpenSSL erkennt auf Grund eines Fehlers in der Implementierung gefälschte digitale Signaturen unter bestimmten Voraussetzungen nicht als solche. Anfällig sind alle Systeme, die die OpenSSL-Bibliotheken nutzen, also insbesondere SSL/TLS-gesicherte Server und VPNs die auf SSL/TLS basieren.Die OpenSSL-Versionen 0.9.7k und 0.9.8c beseitigen diese Schwäche. Anzeige Die Sicherheitsnotiz des OpenSSL-Teams schränkt zwar ein, dass der Fehler nur auftreten kann, wenn die Certificate Authority (CA) RSA-Schluessel mit dem Exponenten 3 und X.509-Zertifikate verwendet, gibt jedoch nicht an, wie man das konkret ermitteln kann. Laut Advisory kommen derartige Schlüssel jedoch häufig vor. Ein Angreifer könnte dann eine Signatur fälschen, die als korrekt erkannt wird, da die OpenSSL-Implementierung nicht überprüft, ob die RSA-Signatur überschüssige Daten enthält. Alle Anwender sollten deshalb auf die neuen Versionen upgraden. Alternativ stellt OpenSSL auch Patches für die Versionen 0.9.6, 0.9.7, 0.9.8, und 0.9.9 bereit.(ju/c't) weitere Artikel aus aller Welt |
|
Content managed by the HeiNes Content Management System.