(ag) – Die Entwickler der Verschlüsselungs-Software haben ein Sicherheits-Update zur Verfügung gestellt und bereinigen damit eine Schwachstelle.
Kürzlich wurde eine Sicherheitslücke bezüglich des TLS/SSL-Protokolls in der Software OpenSSL bekannt gegeben. Interessant ist, dass dieses Update allerdings nicht die Schwachstelle im Protokoll ausbügelt. Die Entwickler haben anscheinend die „TLS/SSL Renegotioation“ aus der Standard-Konfiguration genommen. Daher sollten Administratoren ihre Applikationen testen. Die Effekte dieser Deaktivierungs-Maßnahme sind nicht ganz klar.
Die neueste Version von OpenSSL finden Sie im Download-Bereich der Herstellerseite. Dort können Sie den Quellcode herunterladen. Die Entwickler raten von der Aktivierung der Renegotiation-Option ab, da es ein gefährliches Sicherheitsloch aufreißen könnte. Wer es aber dennoch benötigt, kann es wieder aktivieren, indem er in s3->flag den Parameter SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION setzt.
Quelle: TEC Channel
Loading ...
