Neue OpenSSL-Lücken mit Online-Diensten und Testscript überprüfen
Die OpenSSL-Foundation hat ein Gutachten mit Hinweis auf mehrere schwere Lücken veröffentlicht:
- SSL/TLS MITM vulnerability (CVE-2014-0224)
- DTLS recursion flaw (CVE-2014-0221)
- DTLS invalid fragment vulnerability (CVE-2014-0195)
- SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
- SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
- Anonymous ECDH denial of service (CVE-2014-3470)
Die ersten drei Lücken sind dabei schwerwiegend; "so lässt sich die MITM-Lücke dazu ausnutzen, TLS-Verbindungen einfach zu übernehmen, wenn sowohl Server als auch Client von der Lücke betroffen sind", so Markus Manzke. Bei CVE-2014-0221 kann es zu einem Buffer-Overrun und schlimmstenfalls zu Remote Code Execution auf dem Server kommen, der Fehler CVE-2014-0195 kann zu einem DOS des betroffenen Servers führen.
Updates
- Update 2: Online-Tests (8ack, NCC-Group)
- Update 1: POC/Testscript für CVE-2014-0224 SSL/TLS MITM vulnerability
Updates sind also verfügbar. Die OpenSSL-Entwickler haben die Distros (bis auf OpenBSD) diesmal im Vorfeld informiert und Patches bereitgestellt.
POCs und Tests
Online:
- 8ack.de/scan/ssl (by 8ack.de)
- ccsbug.exposed (by NCCGroup)
- https://dev.ssllabs.com/ (by SSLLabs)
Die Tripwire-Entwickler haben ein Testscript zur Verfügung gestellt, um Server auf die MITM-Lücke (SSL/TLS MITM vulnerability (CVE-2014-0224)) zu testen. Dieses Script ist auch über die 8ack-Tools verfügbar. Für Offline-Tests stehen Scripte unter TestSSL.sh (https://testssl.sh/) zur Verfügung, mit denen Tests auch gegen Mail- und interne Server von der Konsole aus möglich sind.
Weitere Informationen finden Sie unter https://8ack.de/bulletins/1402041891.
Kontakt
Markus Manzke
mare system
Werftbahnstraße 8
24143 Kiel
E-Mail: mm@mare-system.de
Web: www.mare-system.de
Weitere News
askDANTE veröffentlicht Podcast für Personaler
Die askDANTE systems GmbH hat zum Jahresbeginn 2025 einen eigenen Podcast rund um die
...
Weiterlesen … askDANTE veröffentlicht Podcast für Personaler
IB.SH-Unternehmerinnenpreis 2025 – Jetzt bewerben!
Der IB.SH-Unternehmerinnenpreis bietet eine Bühne, um Ihre Leistungen zu feiern und
...
Weiterlesen … IB.SH-Unternehmerinnenpreis 2025 – Jetzt bewerben!
Werner Kässens bleibt Chef der Kieler Wirtschaftsförderung
Werner Kässens ist als Geschäftsführer der KiWi, Kieler Wirtschaftsförderungs- und
...
Weiterlesen … Werner Kässens bleibt Chef der Kieler Wirtschaftsförderung
DiWo 2025: Veranstaltungen jetzt einreichen!
Ab sofort heißt es „Bühne frei“ für Ihre Veranstaltung zur Digitalen Woche Kiel 2025!
...
Jetzt bewerben: AI.STARTUP.HUB Accelerator- und Ideation-Programme 2025
Die Bewerbungsphase für den AI.STARTUP.HUB Summer 2025 Batch ist offiziell eröffnet!
...
Weiterlesen … Jetzt bewerben: AI.STARTUP.HUB Accelerator- und Ideation-Programme 2025
Wie können wir die Kreativwirtschaft in Schleswig-Holstein stärken?
Die Kreativwirtschaft ist nicht nur ein wichtiger Wirtschaftszweig, sondern auch ein
...
Weiterlesen … Wie können wir die Kreativwirtschaft in Schleswig-Holstein stärken?
Herzlich Willkommen Fleno GmbH!
Die Fleno GmbH ist eine Agentur für Softwareentwicklung mit Sitz in Flensburg. Seit
...
DiWiSH x IT4B Digital Summit: Jetzt Standplatz sichern
Nach dem großen Erfolg im letzten Jahr freuen wir uns, dass die DiWiSH Stage auch
...
Weiterlesen … DiWiSH x IT4B Digital Summit: Jetzt Standplatz sichern
Care-AI: Aktuelles & eigener Newsletter
Im Interview mit der WTSH gibt unsere Netzwerkmanagerin Moni Löffler aktuelle
...
Herzlich Willkommen WikiMind GmbH!
Die WikiMind GmbH ist der Partner für Unternehmen, die künstliche Intelligenz sicher
...
Zukunftsforum Medien 2025 – Gemeinsam für eine starke Presse
Gestern kamen im Kieler Yacht-Club Expertinnen und Experten aus Politik, Medien und
...
Weiterlesen … Zukunftsforum Medien 2025 – Gemeinsam für eine starke Presse
Jahresbericht 2024: Ein Rückblick und Ausblick für den echten Norden
Die Digitale Wirtschaft Schleswig-Holstein (DiWiSH) blickt auf ein ereignisreiches
...
Weiterlesen … Jahresbericht 2024: Ein Rückblick und Ausblick für den echten Norden
Jetzt INQA-Coach werden: Autorisierung ab 3. Februar 2025
Vom 03. Februar bis 03. März 2025 können sich Coaches erneut über das Portal des
...
Weiterlesen … Jetzt INQA-Coach werden: Autorisierung ab 3. Februar 2025
Call for Speakers: IgNITE 2025 Kiel sucht Vortragende!
Die IgNITE lädt dazu ein, aus Erfahrungen zu lernen, kreative Lösungen zu entdecken
...
Weiterlesen … Call for Speakers: IgNITE 2025 Kiel sucht Vortragende!
Forschende entdecken neue Sicherheitslücke: BadRAM ist Gefahr für Daten in der Cloud
Forscher:innen der Universität zu Lübeck, der University of Birmingham und der
...
Weiterlesen … Forschende entdecken neue Sicherheitslücke: BadRAM ist Gefahr für Daten in der Cloud
