Neue Sicherheitslücken in OpenSSL

Im Gegensatz zu Heartbleed, der OpenSSL-Sicherheitslücke, die im April 2014 identifiziert wurde, ist das Schlüsselmaterial digitaler Zertifikate nicht anfällig für die Gefährdung. Eine mögliche Ausnahme besteht allerdings, wenn man mit DTLS arbeitet. Zu den neu identifizierten Sicherheitslücken gehören ein SSL/TLS-Bug, der es einem Angreifer erlaubt einen Man-in-the-Middle-Angriff (MITM) durchzuführen, der zur Exposition sensibler Daten führen kann und eine DTLS-Sicherheitslücke, die die Injektion von bösartigem Code in anfällige Software und Geräte ermöglicht.

Allen OpenSSL-Benutzern wird empfohlen, ihre Systeme sofort mit den von OpenSSL bereitgestellten Patches und Empfehlungen zu aktualisieren. Wenn Sie nicht mit DTLS arbeiten, müssen Sie Zertifikate nicht neu ausstellen. Wenn Sie mit DTLS arbeiten, können einige zusätzliche Schritte erforderlich sein. Alle Details zu den OpenSSL-Sicherheitslücken finden Sie auf der OpenSSL Website. [bl]