Patches für die OpenSSL-Lücke Heartbleed

heartbleed-206x250CentOS, Debian, Fedora, Red Hat, openSUSE und Ubuntu haben inzwischen Patches für den zu Beginn der Woche bekannt gemachten Fehler in OpenSSL veröffentlicht. SUSE Linux Enterprise Server (SLES) war von dem “Heartbleed” getauften Bug nicht betroffen. Auch von OpenSSL gibt es seit dem 7. April mit der Version 1.01g ein Update.

Heartbleed, offiziell CVE-2014-0160, ermöglicht Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten im Speicher könnten Angreifer kritische Informationen sammeln und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschaffen. Sie könnten auch Nutzernamen und Passwörter von Usern auslesen.

Da die fehlerhafte OpenSSL-Version 1.01 schon am 12. März 2012 veröffentlicht wurde, sind möglicherweise Millionen Websites für einen Angriff über die Lücke anfällig. Betroffen waren unter anderem auch so namhafte Seiten wie Yahoo, Imgur und OKCupid. Auch der Passwortmanager LastPass zählte laut Caschys Blog zu den Opfern.

LastPass hat laut eigenen Angaben das Leck nun ebenfalls behoben. Zu keinem Zeitpunkt habe Gefahr für die von Nutzern hinterlegten Passwörter bestanden, da diese vor dem Transport über OpenSSL verschlüsselt werden, kommentiert der Anbieter. Lediglich die Nutzer hätten somit Zugriff auf die Schlüssel.

Das Unternehmen hat bereits neu ausgestellte Zertifikate in Betrieb genommen. Außerdem arbeiten die LastPass-Server mit “Perfect Forward Secrecy“, womit sichergestellt ist, dass aus einem aufgedeckten geheimen Langzeitschlüssel nicht auf damit ausgehandelte Sitzungsschlüssel eines Kommunikationskanals geschlossen werden kann.

OpenSSL ist eine quelloffene und weit verbreitete Lösung für verschlüsselte Online-Kommunikation mit SSL/TLS via Apache- und Nginx-Webserver. Sie kann für HTTPS ebenso wie E-Mail- oder Messaging-Verschlüsselung verwendet werden. Schätzungen gehen davon aus, dass zwei Drittel, aller “abgesicherten” Websites den Heartbleed-Fehler aufweisen.

Was das Risiko noch erhöht, ist, dass inzwischen Proof-of-concept-Code im Umlauf ist, mit dem Script-Kiddies Angriffsversuche auf HTTPS-Webseiten starten können. Ob die eigene Website anfällig für solche Angriffe ist, lässt sich auf einer von Filippo Valsorda bereitgestellten Heartbleed-Testseite prüfen.

Auch angesichts täglicher Meldungen über Sicherheitslücken ist Heartbleed ein schweres und möglicherweise folgenreiches Problem für die Internet-Technik. Websites müssen aufwändig modifiziert werden, und eigentlich müsste jeder Besucher einer gefährdeten Site sein Passwort wechseln, weil es ja längst kompromittiert sein könnte. Analog müssten zahlreiche potenziell entwendete Sicherheitszertifikate zurückgezogen werden.

[mit Material von Björn Greif und Kai Schmerer, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Sandboxing: Von der Prävention zur forensischen Analyse

Die Kombination aus Blockieren und fundierter Analyse bietet eine resiliente Sicherheitsarchitektur, sagt Andrea Napoli von…

3 Tagen ago

Telemedizinische Beratung für Pflegekräfte

Projekt: Per Tablet ärztliche Expertise hinzuzuziehen, wenn sich der Gesundheitszustand von Pflegepersonen plötzlich verschlechtert.

3 Tagen ago

Malware-Ranking April: FakeUpdates bleibt die dominante Malware in Deutschland

Sicherheitsforscher von Check Point enthüllen mehrstufige Malware-Kampagnen, die legitime Prozesse zur Tarnung nutzen.

3 Tagen ago

Energiebedarf von Rechenzentren steigt durch KI um das Elffache

Laut Berechnungen des Öko-Instituts wird sich der Stromverbrauch von aktuell rund 50 auf etwa 550…

4 Tagen ago

Industriesoftware für die Flugzeugentwicklung

Bombardier will den Entwicklungsprozess von Flugzeugen mit Siemens Xcelerator digitalisieren – vom Konzept bis zur…

5 Tagen ago

Kreisstadt Unna automatisiert IT-Prozesse mit UEM

Automatisierte Softwareverteilung, zentralisierte Updates und ein optimiertes Lizenzmanagement entlasten die IT-Abteilung.

6 Tagen ago