SSL Labs analysieren Server auf CCS-Anfälligkeit

ChangeCipherSpec-Schwachstelle in OpenSSL

| Autor / Redakteur: Ivan Ristic / Stephan Augsten

Mit dem SSL Server Test können Unternehmen ihre Server auf mögliche OpenSSL-Schwachstellen CVE hin prüfen.
Mit dem SSL Server Test können Unternehmen ihre Server auf mögliche OpenSSL-Schwachstellen CVE hin prüfen. (Bild: alphaspirit - Fotolia.com)

Um das quelloffene OpenSSL-Projekt wird es einfach nicht ruhig. Nach dem Heartbleed-Debakel sind weitere Sicherheitsprobleme bekannt geworden, die im schlimmsten Fall zu einer Offenlegung des gesamten Netzwerkverkehrs führen können. Die SSL Labs von Qualys haben sich im Rahmen von Website-Analysen mit einer speziellen Schwachstelle beschäftigt.

Vor gut einem Monat veröffentlichte OpenSSL ein Advisory, in dem Einzelheiten zu einer Reihe gravierender Sicherheitslücken beschrieben wurden. Für die meisten Websites wird die Schwachstelle CVE-2014-0224 das größte Problem darstellen, weil sie durch einen aktiven Netzwerkangriff (Man-in-the-Middle) ausgenutzt werden kann.

Diese Anfälligkeit erlaubt es einem aktiven Angreifer, ChangeCipherSpec-Nachrichten (CCS) auf beiden Seiten einer Verbindung einzuschleusen und die Verhandlung der Schlüssel zu erzwingen, bevor das gesamte Schlüsselmaterial zur Verfügung steht. Dies führt dazu, dass schwache Schlüssel ausgehandelt werden und der Angreifer Zugriff auf den Datenverkehr erhalten kann.

Falls Sie an den technischen Einzelheiten interessiert sind: Adam Langley hat eine gute technische Analyse veröffentlicht. Zwar sind praktisch alle Versionen von OpenSSL anfällig, ausnutzen lässt sich diese Schwachstelle aber nur, wenn zum einen beide Seiten OpenSSL einsetzen und zum anderen der Server eine anfällige Version von OpenSSL aus dem 1.0.1-Zweig verwendet.

Die gute Nachricht ist, dass die meisten Browser OpenSSL nicht verwenden und die meisten Internet-Nutzer deshalb nicht betroffen sind. Die Android-Browser verwenden jedoch OpenSSL und sind daher für diesen Angriff anfällig. Google hat mittlerweile Android 4.4.4 veröffentlicht, um dieses Problem zu beheben.

Viele Befehlszeilen- und ähnliche programmatische Tools arbeiten ebenfalls mit OpenSSL. Ein besonders interessantes Ziel werden diverse VPN-Produkte sein, die wie OpenVPN auf OpenSSL basieren. Wir bei SSL Labs haben jetzt seit einiger Zeit auf CVE-2014-0224 getestet und zudem umfassende Scans via SSL Pulse durchgeführt.

Wenige Tage nach der Bekanntgabe der Schwachstelle, am 10. Juni 2014, fanden wir in unserem Datenbestand 14 Prozent anfällige Hosts. Bei einem erneuten Scan am 2. Juli zeigte sich, dass sich die Anzahl der verwundbaren Hosts verringert hatte: Jetzt sind im gleichen Datenbestand noch 8,84 Prozent der Hosts verwundbar.

Ein Viertel der bei uns gelisteten Hosts sind aus rein technischer Sicht zwar anfällig, auf ihnen laufen allerdings Open SSL 1.0.0 und frühere Versionen. Diese sind nach derzeitigem Stand nicht angreifbar. Mit dem SSL Server Test von SSL Labs können Sie Ihre Server bei Bedarf auf die Schwachstelle CVE-2014-0224 und andere Anfälligkeiten hin prüfen.

Über den Autor

Ivan Ristic ist Leiter der SSL Labs bei Qualys.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42799847 / Server)