Kritische Sicherheitslücke gefährdet OpenSSL
Die Schwachstelle in den Versionen 1.0.1 und 1.0.2 ermöglicht Angreifern, Denial-of-Service-Attacken auszuführen oder Schadcode einzuschleusen und auszuführen. Das OpenSSL Project veröffentlicht am Donnerstag einen Patch für die Sicherheitslücke.
In der Verschlüsselungsbibliothek OpenSSL steckt wieder eine kritische Sicherheitslücke. Davor hat das OpenSSL Project gewarnt. Allerdings hat es nicht mitgeteilt welches Protokoll oder welcher Algorithmus betroffen ist. Normalerweise steckt ein als kritisch eingestufter Fehler aber in weit verbreitete Konfigurationen. Dieser lässt sich in der Regel für Denial-of-Service-Angriffe verwenden. Cyberkriminelle können ihn aber auch ausnutzen, um Schadcode aus der Ferne einzuschleusen und auszuführen.
Wie Computerworld berichtet, komme die OpenSSL-Bibliothek unter anderem für die Verschlüsselung von Protokollen wie HTTP Secure (HTTPS), Internet Message Access Protocol Secure (IMAPS) und Simple Mail Transfer Protocol Secure (SMTPS) zum Einsatz. Damit ist sie in zahlreichen Anwendungen und Systemen verbreitet – von Webservern bis hin zu Embedded-Geräten. Einige von denen lassen sich nicht ohne Probleme patchen.
Von der Sicherheitslücke sind die OpenSSL-Versionen 1.0.1 und 1.0.2 betroffen. Das Projekt will am Donnerstag Updates auf 1.0.1p und 1.0.2d veröffentlichen. Die noch bis zum Jahresende unterstützten Versionen 0.9.8 und 1.0.0 sind nicht gefährdet.
Im vergangenen Jahr hatte der Heartbleed genannte Bug in OpenSSL Zugriff auf den flüchtigen Speicher eines Webservers ermöglicht. Angreifer hätten mit den Daten kritische Informationen auslesen können. Zudem hätten sie sich als Server gegenüber Dritten ausgeben können. Dafür müssen sie sich den Schlüssel des Originalservers beschaffen. Zwei Monate nach der Entdeckung von Heartbleed waren einer Studie von Errata Security zufolge immer noch mehr als 300.000 Server weltweit anfällig.
Gavin Millard, Technical Director EMEA bei Tenable Network Security, rät Administratoren trotz der Vorwarnung des OpenSSL Project zur Besonnenheit. “Anstatt sich Sorgen zu machen, dass Heartbleed Nummer 2 oder ein noch schwerwiegenderer Bug vor der Tür steht, der Code von außerhalb durchführen kann, sollten Unternehmen sich vielmehr die Zeit nehmen zu prüfen, wo sie OpenSSL 1.0.2 und 1.0.1 in ihren Umgebungen nutzen. Damit sind sie vorbereitet, wenn am Donnerstag Details bekannt gegeben werden.”
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de