Categories: CybersicherheitSicherheitsmanagement

Kritische Sicherheitslücke gefährdet OpenSSL

In der Verschlüsselungsbibliothek OpenSSL steckt wieder eine kritische Sicherheitslücke. Davor hat das OpenSSL Project gewarnt. Allerdings hat es nicht mitgeteilt welches Protokoll oder welcher Algorithmus betroffen ist. Normalerweise steckt ein als kritisch eingestufter Fehler aber in weit verbreitete Konfigurationen. Dieser lässt sich in der Regel für Denial-of-Service-Angriffe verwenden. Cyberkriminelle können ihn aber auch ausnutzen, um Schadcode aus der Ferne einzuschleusen und auszuführen.

Wie Computerworld berichtet, komme die OpenSSL-Bibliothek unter anderem für die Verschlüsselung von Protokollen wie HTTP Secure (HTTPS), Internet Message Access Protocol Secure (IMAPS) und Simple Mail Transfer Protocol Secure (SMTPS) zum Einsatz. Damit ist sie in zahlreichen Anwendungen und Systemen verbreitet – von Webservern bis hin zu Embedded-Geräten. Einige von denen lassen sich nicht ohne Probleme patchen.

Von der Sicherheitslücke sind die OpenSSL-Versionen 1.0.1 und 1.0.2 betroffen. Das Projekt will am Donnerstag Updates auf 1.0.1p und 1.0.2d veröffentlichen. Die noch bis zum Jahresende unterstützten Versionen 0.9.8 und 1.0.0 sind nicht gefährdet.

Heartbleed galt aufgrund der Schwere und auch aufgrund der hohen Verbreitung des Fehlers als einer der wichtigsten Bugs der vergangenen Jahre. (Bild: Codenomicon)

Im vergangenen Jahr hatte der Heartbleed genannte Bug in OpenSSL Zugriff auf den flüchtigen Speicher eines Webservers ermöglicht. Angreifer hätten mit den Daten kritische Informationen auslesen können. Zudem hätten sie sich als Server gegenüber Dritten ausgeben können. Dafür müssen sie sich den Schlüssel des Originalservers beschaffen. Zwei Monate nach der Entdeckung von Heartbleed waren einer Studie von Errata Security zufolge immer noch mehr als 300.000 Server weltweit anfällig.

Gavin Millard, Technical Director EMEA bei Tenable Network Security, rät Administratoren trotz der Vorwarnung des OpenSSL Project zur Besonnenheit. “Anstatt sich Sorgen zu machen, dass Heartbleed Nummer 2 oder ein noch schwerwiegenderer Bug vor der Tür steht, der Code von außerhalb durchführen kann, sollten Unternehmen sich vielmehr die Zeit nehmen zu prüfen, wo sie OpenSSL 1.0.2 und 1.0.1 in ihren Umgebungen nutzen. Damit sind sie vorbereitet, wenn am Donnerstag Details bekannt gegeben werden.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch : Malware-Ranking August: CloudEye verursacht 18 Prozent der Infektionen

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.