Die Padding Oracle Sicheitslücke [CVE-2016-2107] in der OpenSSL Bibliothek auf unseren Webservern wurde geschlossen

Das OpenSSL-Projekt hat die letzte Woche angekündigten Versionen 1.0.2h und 1.0.1t der Krypto-Bibliothek veröffentlicht. Sie schließen sechs Sicherheitslücken, zwei davon sind mit der Priorität „hoch“ versehen. Eine der beiden Lücken geht auf den Fix für den Lucky-13-Angriff von Anfang 2013 zurück [CVE-2013-0169].

Beim Beheben der Lucky-13-Lücke hatten die Entwickler eine zusätzliche Überprüfung des Paddings eingeführt, um den Orakel-Angriff zu verhindern und hatten dabei wohl ein weiteres Padding Oracle eingebaut, das nun entdeckt wurde [CVE-2016-2107]. Die neue Padding-Oracle-Lücke betrifft nur solche Server, die AES-CBC als Cipher einsetzen und die den erweiterten AES-Befehlssatz (AES-NI) unterstützen. (Lesen Sie mehr dazu auf heise.de)

Diese jüngst bekanntgewordene Sicherheitslücke haben wir nun geschlossen. Damit ist laut Test auf SSL-Labs unsere SSL-Verschlüsselung wieder mit einem A+ bewertet worden.

Wir wünschen sicheres Surfen!

– Ihr Netzwerkstudio