FacebookFolgen Sie uns auf Facebook

Content Security     Verschlüsselung     Akademie     Support

Home  >  Presse & News  >  Newsarchiv
Suche

Gefälschte OpenSSL-Signaturen

07.09.2006 - Newsmeldung von S.I.T. Secure Internet Traffic

Signaturen der freien SSL- und TLS-Implementierung OpenSSL lassen sich fälschen. Davon betroffen sind alle Systeme, auf denen die OpenSSL-Bibliotheken eingesetzt werden. Davon ist auch CompanyCRYPT - encryption module for MIMEsweeper betroffen. Ein Hotfix wurde hierfür bereits veröffntlicht.

Laut der Sicherheitsmeldung (http://www.openssl.org/news/secadv_20060905.txt) tritt der Fehler nur auf, wenn Certificate-Authority-RSA-Schlüssel mit dem Exponenten 3 und X.509-Zertifikat verwendet werden. In diesem Fall lassen sich Signaturen fälschen, so dass prinzipiell jedes System mit OpenSSL-Bibliotheken betroffen ist.

Solche Zertifikate sollen laut Meldung des Projektes häufig im Einsatz sein. Betroffen sind alle OpenSSL-Versionen bis einschließlich 0.9.7j und 0.9.8b. Das OpenSSL-Projekt bietet jedoch schon Updates für ältere Versionen sowie die neuen Veröffentlichungen 0.9.7k und 0.9.8c an, die den Fehler beheben. Ein Update empfiehlt sich für alle Anwender von CompanyCRYPT, die die Verifizierung von digitalen Signaturen am Email-Gateway geschäftskritisch einsetzten.

Die neuen Versionen von OpenSSL stehen ab sofort unter openssl.org zum Download bereit.

Ein Hotfix für CompanyCRYPT mit den OpenSSL-Routinen V 0.9.8c , die den Fehler beseitigen, ist für registrierte Kunden im Downloadbereich bereits verfügbar.


Zurück



Letzte Änderung: 25.10.2016, Product of Interest: