Sicherheitslücken und kein Ende, so könnte man den heutigen Blog-Beitrag mal wieder überschreiben. Nach dem Heardbleed-Bug hat man weitere, kritische Sicherheitslücken in OpenSSL gefunden. Zudem gibt es eine fette Sicherheitslücke im Linux-Kernel, die durch einen Patch möglichst schnell geschlossen werden sollte.
Anzeige
OpenSSL: Noch mehr fehlerhafter Code
Im Artikel Katastrophe: OpenSSL mit Heartbleed-Sicherheitslücke hatte ich darauf hingewiesen, dass die Open Source-Bibliothek OpenSSL (wegen eines Bugs) eine dicke Zero-Day-Sicherheitslücke aufweist, die bisher noch nicht gepatcht ist. Brisant ist dies, weil viele OpenSource-Produkte ihre Verschlüsselung auf diese Bibliothek stützen.
Es gibt zwar Pläne, OpenSSL einem Sicherheitsaudit zu unterziehen, aber bereits jetzt sind weitere Sicherheitslücken bekannt geworden. Der japanische Entwickler Masashi Kikuchi hat eine Schwachstelle entdeckt, die den verschlüsselten Datenaustausch über das Protokoll angreifbar für Man-in-the-middle-Attacken macht. In diesem Statemenü teilt das OpenSSL-Projekt diesen Sachverhalt mit und warnt vor dem Einsatz. Weitere Details sind bei Spiegel Online und hier bei heise.de nachlesbar.
Sicherheits-Patch für Linux-Kernel
Gibt ja gerne den Spruch "Mit Linux wär das nicht passiert", wenn irgendwo eine Sicherheitslücke auffliegt. Aber auch im Linux-Kernel gibt es eine kürzlich entdeckte Sicherheitslücke, über die ein Patch bereitsteht. ZDNet.com berichtet in diesem Beitrag über das Problem und legt Linux-Benutzern nahe, den Patch zeitnah zu installieren.
2015
