Kritische Sicherheitslücke gefährdet OpenSSL

In der Verschlüsselungsbibliothek OpenSSL steckt wieder eine kritische Sicherheitslücke. Davor hat das OpenSSL Project gewarnt. Allerdings hat es nicht mitgeteilt welches Protokoll oder welcher Algorithmus betroffen ist. Normalerweise steckt ein als kritisch eingestufter Fehler aber in weit verbreitete Konfigurationen. Dieser lässt sich in der Regel für Denial-of-Service-Angriffe verwenden. Cyberkriminelle können ihn aber auch ausnutzen, um Schadcode aus der Ferne einzuschleusen und auszuführen.

Wie Computerworld berichtet, komme die OpenSSL-Bibliothek unter anderem für die Verschlüsselung von Protokollen wie HTTP Secure (HTTPS), Internet Message Access Protocol Secure (IMAPS) und Simple Mail Transfer Protocol Secure (SMTPS) zum Einsatz. Damit ist sie in zahlreichen Anwendungen und Systemen verbreitet – von Webservern bis hin zu Embedded-Geräten. Einige von denen lassen sich nicht ohne Probleme patchen.

Von der Sicherheitslücke sind die OpenSSL-Versionen 1.0.1 und 1.0.2 betroffen. Das Projekt will am Donnerstag Updates auf 1.0.1p und 1.0.2d veröffentlichen. Die noch bis zum Jahresende unterstützten Versionen 0.9.8 und 1.0.0 sind nicht gefährdet.

Heartbleed galt aufgrund der Schwere und auch aufgrund der hohen Verbreitung des Fehlers als einer der wichtigsten Bugs der vergangenen Jahre. (Bild: Codenomicon)

Im vergangenen Jahr hatte der Heartbleed genannte Bug in OpenSSL Zugriff auf den flüchtigen Speicher eines Webservers ermöglicht. Angreifer hätten mit den Daten kritische Informationen auslesen können. Zudem hätten sie sich als Server gegenüber Dritten ausgeben können. Dafür müssen sie sich den Schlüssel des Originalservers beschaffen. Zwei Monate nach der Entdeckung von Heartbleed waren einer Studie von Errata Security zufolge immer noch mehr als 300.000 Server weltweit anfällig.

Gavin Millard, Technical Director EMEA bei Tenable Network Security, rät Administratoren trotz der Vorwarnung des OpenSSL Project zur Besonnenheit. “Anstatt sich Sorgen zu machen, dass Heartbleed Nummer 2 oder ein noch schwerwiegenderer Bug vor der Tür steht, der Code von außerhalb durchführen kann, sollten Unternehmen sich vielmehr die Zeit nehmen zu prüfen, wo sie OpenSSL 1.0.2 und 1.0.1 in ihren Umgebungen nutzen. Damit sind sie vorbereitet, wenn am Donnerstag Details bekannt gegeben werden.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

12 Minuten ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

57 Minuten ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

1 Tag ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago