Kritische Sicherheitslücke gefährdet OpenSSL

In der Verschlüsselungsbibliothek OpenSSL steckt wieder eine kritische Sicherheitslücke. Davor hat das OpenSSL Project gewarnt. Allerdings hat es nicht mitgeteilt welches Protokoll oder welcher Algorithmus betroffen ist. Normalerweise steckt ein als kritisch eingestufter Fehler aber in weit verbreitete Konfigurationen. Dieser lässt sich in der Regel für Denial-of-Service-Angriffe verwenden. Cyberkriminelle können ihn aber auch ausnutzen, um Schadcode aus der Ferne einzuschleusen und auszuführen.

Wie Computerworld berichtet, komme die OpenSSL-Bibliothek unter anderem für die Verschlüsselung von Protokollen wie HTTP Secure (HTTPS), Internet Message Access Protocol Secure (IMAPS) und Simple Mail Transfer Protocol Secure (SMTPS) zum Einsatz. Damit ist sie in zahlreichen Anwendungen und Systemen verbreitet – von Webservern bis hin zu Embedded-Geräten. Einige von denen lassen sich nicht ohne Probleme patchen.

Von der Sicherheitslücke sind die OpenSSL-Versionen 1.0.1 und 1.0.2 betroffen. Das Projekt will am Donnerstag Updates auf 1.0.1p und 1.0.2d veröffentlichen. Die noch bis zum Jahresende unterstützten Versionen 0.9.8 und 1.0.0 sind nicht gefährdet.

Heartbleed (Bild: Codenomicon)
Heartbleed galt aufgrund der Schwere und auch aufgrund der hohen Verbreitung des Fehlers als einer der wichtigsten Bugs der vergangenen Jahre. (Bild: Codenomicon)

Im vergangenen Jahr hatte der Heartbleed genannte Bug in OpenSSL Zugriff auf den flüchtigen Speicher eines Webservers ermöglicht. Angreifer hätten mit den Daten kritische Informationen auslesen können. Zudem hätten sie sich als Server gegenüber Dritten ausgeben können. Dafür müssen sie sich den Schlüssel des Originalservers beschaffen. Zwei Monate nach der Entdeckung von Heartbleed waren einer Studie von Errata Security zufolge immer noch mehr als 300.000 Server weltweit anfällig.

Gavin Millard, Technical Director EMEA bei Tenable Network Security, rät Administratoren trotz der Vorwarnung des OpenSSL Project zur Besonnenheit. “Anstatt sich Sorgen zu machen, dass Heartbleed Nummer 2 oder ein noch schwerwiegenderer Bug vor der Tür steht, der Code von außerhalb durchführen kann, sollten Unternehmen sich vielmehr die Zeit nehmen zu prüfen, wo sie OpenSSL 1.0.2 und 1.0.1 in ihren Umgebungen nutzen. Damit sind sie vorbereitet, wenn am Donnerstag Details bekannt gegeben werden.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

KI-Agenten erfolgreich integrieren

Doch trotz steigendem Interesse wissen viele Unternehmen nicht, wo sie anfangen sollen, um KI-Agenten sinnvoll…

19 Stunden ago

Plusnet: Innovative Analytics mit Microsoft Fabric

Fabric hilft Plusnet bei der Etablierung einer stringenten Datenkultur und ermöglicht es den Fachbereichen, geschäftlichen…

19 Stunden ago

Schluss mit Silos: Google macht KI herstelleragnostisch

Der tatsächliche Mehrwert von KI-Agenten zeigt sich erst dann, wenn sie über System- und Herstellergrenzen…

2 Tagen ago

Energieeffiziente KI dank innovativer ferroelektrischer Technologie

Ferroelektrisches Oxid verringert den Energieverbrauch erheblich und verkürzt Latenzzeiten von Computerarchitekturen.

3 Tagen ago

Erfolgsstrategie Hyperscaler: Wie Unternehmen ihre Chancen in der Cloud maximieren

Hyperscaler ermöglichen ISVs eine schnellere Markteinführung ihrer Produkte, wobei damit die verbundenen Herausforderungen steigen, sagt…

5 Tagen ago

Galeria will Einkaufserlebnis in der Filiale und Online steigern

Warenhauskette setzt auf die KI-gesteuerten Fähigkeiten zur Bedarfsplanung und Nachversorgung von Blue Yonder.

6 Tagen ago