In der Verschlüsselungsbibliothek OpenSSL steckt wieder eine kritische Sicherheitslücke. Davor hat das OpenSSL Project gewarnt. Allerdings hat es nicht mitgeteilt welches Protokoll oder welcher Algorithmus betroffen ist. Normalerweise steckt ein als kritisch eingestufter Fehler aber in weit verbreitete Konfigurationen. Dieser lässt sich in der Regel für Denial-of-Service-Angriffe verwenden. Cyberkriminelle können ihn aber auch ausnutzen, um Schadcode aus der Ferne einzuschleusen und auszuführen.
Wie Computerworld berichtet, komme die OpenSSL-Bibliothek unter anderem für die Verschlüsselung von Protokollen wie HTTP Secure (HTTPS), Internet Message Access Protocol Secure (IMAPS) und Simple Mail Transfer Protocol Secure (SMTPS) zum Einsatz. Damit ist sie in zahlreichen Anwendungen und Systemen verbreitet – von Webservern bis hin zu Embedded-Geräten. Einige von denen lassen sich nicht ohne Probleme patchen.
Von der Sicherheitslücke sind die OpenSSL-Versionen 1.0.1 und 1.0.2 betroffen. Das Projekt will am Donnerstag Updates auf 1.0.1p und 1.0.2d veröffentlichen. Die noch bis zum Jahresende unterstützten Versionen 0.9.8 und 1.0.0 sind nicht gefährdet.
Im vergangenen Jahr hatte der Heartbleed genannte Bug in OpenSSL Zugriff auf den flüchtigen Speicher eines Webservers ermöglicht. Angreifer hätten mit den Daten kritische Informationen auslesen können. Zudem hätten sie sich als Server gegenüber Dritten ausgeben können. Dafür müssen sie sich den Schlüssel des Originalservers beschaffen. Zwei Monate nach der Entdeckung von Heartbleed waren einer Studie von Errata Security zufolge immer noch mehr als 300.000 Server weltweit anfällig.
Gavin Millard, Technical Director EMEA bei Tenable Network Security, rät Administratoren trotz der Vorwarnung des OpenSSL Project zur Besonnenheit. “Anstatt sich Sorgen zu machen, dass Heartbleed Nummer 2 oder ein noch schwerwiegenderer Bug vor der Tür steht, der Code von außerhalb durchführen kann, sollten Unternehmen sich vielmehr die Zeit nehmen zu prüfen, wo sie OpenSSL 1.0.2 und 1.0.1 in ihren Umgebungen nutzen. Damit sind sie vorbereitet, wenn am Donnerstag Details bekannt gegeben werden.”
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.