Kein Heartbleed: OpenSSL bekommt neun Updates

OpenSSL.org veröffentlicht Updates für insgesamt neun Sicherheitslecks in der quelloffenen und weit verbreiteten Verschlüsselungstechnologie OpenSSL. Die Patches beheben Lecks, die sich für Denail-of-Service-Attacken, Memory-Fehlfunktionen oder für das Entwenden von Informationen verwenden lassen. Keiner der Fehler ist so schwerwiegend wie das Heartbleed-Leck, das im April für Schlagzeilen sorgte. Dennoch sollten die Aktualisierungen aufgespielt werden.

So kann zum beispiel über den Fehler in (CVE-2014-3508) OBJ_obj2txt ein Angreifer Informationen aus Anwendungen über Pretty Printing heraus lesen. OpenSSL SSL/TLS Clients und Server sind davon allerdings nicht betroffen.

Ein weiteres Beispiel ist die OpenSSL TLS Protocol Downgrade Attacke (CVE-2014-3511). Hier sorgt ein Fehler im OpenSSL SSL/TLS Server Code dafür, dass die 15 Jahre alte Version TLS 1.0 und nicht eine höhere Version verwendet wird. Dafür muss eine bestimmte ClientHello-Message verwendet werden. Ein Man-in-the-Middle-Angreifer könne so die TLS-Records des Server modifizieren.

Weitere Fixes, wie der DTLS Memory Leak (CVE-2014-3507) lassen sich für Denial-of-Service-Attacken ausnutzen. Die Aktualisierungen betreffen OpenSSL 1.0.1, 1.0.0 und 0.9.8. Die Versionen OpenSSL 0.9.6 und 0.9.7 werden nicht mehr länger unterstützt und bekommen daher auch keine Updates mehr.

All diese Probleme wurden in den Monaten Juni und Juli von Sicherheitsexperten von Google, LogMeIn, NCC Group und Codenomicon gemeldet.

Nach dem Bekanntwerden der Heartbleed-Attacke im April wurde der OpenSSL-Code einer umfassenden Prüfung unterzogen. Und diese insgesamt neun Updates gehen damit auf diese Analyse zurück. Nachdem viele Unternehmen sich auf diese Open Source Technologie verlassen, stellten einige Unternehmen wie Google Mitarbeiter für die Analyse des Codes ab.

Heartbleed galt aufgrund der Schwere und auch aufgrund der hohen Verbreitung des Fehlers als einer der wichtigsten Bugs der vergangenen Jahre. Das Unternehmen Codenomicon bietet nach wie vor einen Service, über den Anwender prüfen können, ob ihre Infrastruktur von dem Fehler betroffen ist.

Zudem waren die Angriffe via Heartbleed meist kaum zu entdecken. Der Sicherheitsanbieter Condenomicon hatte den Bug damals entdeckt. Über ein Memory-Leak konnte ein Angreifer Passwörter und Private SSL/TLS Keys (Secure Sockets Layer/Transoport Layer Security) auslesen. Dieses Schlüssel werden verwendet, um verschlüsselte Daten auszulesen.