Home   Suche   News   IT Tipps u. Tricks   Das Wetter   Links u. Downloads   ueber mich   Impressum
 
News » OpenSSL-Signaturen lassen sich fälschen

OpenSSL-Signaturen lassen sich fälschen


OpenSSL erkennt auf Grund eines Fehlers in der Implementierung gefälschte digitale Signaturen unter bestimmten Voraussetzungen nicht als solche. Anfällig sind alle Systeme, die die OpenSSL-Bibliotheken nutzen, also insbesondere SSL/TLS-gesicherte Server und VPNs die auf SSL/TLS basieren.Die OpenSSL-Versionen 0.9.7k und 0.9.8c beseitigen diese Schwäche. Anzeige

Die Sicherheitsnotiz des OpenSSL-Teams schränkt zwar ein, dass der Fehler nur auftreten kann, wenn die Certificate Authority (CA) RSA-Schluessel mit dem Exponenten 3 und X.509-Zertifikate verwendet, gibt jedoch nicht an, wie man das konkret ermitteln kann. Laut Advisory kommen derartige Schlüssel jedoch häufig vor. Ein Angreifer könnte dann eine Signatur fälschen, die als korrekt erkannt wird, da die OpenSSL-Implementierung nicht überprüft, ob die RSA-Signatur überschüssige Daten enthält. Alle Anwender sollten deshalb auf die neuen Versionen upgraden. Alternativ stellt OpenSSL auch Patches für die Versionen 0.9.6, 0.9.7, 0.9.8, und 0.9.9 bereit.(ju/c't)


<< zurück



weitere Artikel aus aller Welt

www.chip.de

Valid XHTML 1.1 Valid CSS! Valid XHTML 1.1    Tagescounter zeigt die Anzahl der heutigen Besucher.    Counter zeigt die Anzahl der Besucher seit bestehen dieser Seite.

Content managed by the HeiNes Content Management System.