In a Heartbeat

Kritische Sicherheitslücke in OpenSSL
Kommentare

Eine kritische Sicherheitslücke ist in OpenSSL aufgetaucht: Der Heartbleed Bug. Doch diese Lücke existiert nicht erst seit gestern.

Eine kritische Sicherheitslücke in OpenSSL sorgt seit gestern Abend für Aufregung: Der Heartbleed Bug. Dadurch ist es möglich, den Speicher jedes betroffenen Systems auszulesen und so an Passwörter, Keys und eigentlich verschlüsselte Nachrichten zu gelangen.

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop communications, steal data directly from the services and users and to impersonate services and users.

Schuld an der Misere ist ein fehlender Bound-Check in der Hearbeat-Extension, die vor zwei Jahren in OpenSSL aufgenommen wurde. Betroffen sind alle OpenSSL-Versionen 1.0.1 (inklusive 1.0.1f) und die Beta-Releases von OpenSSL 1.0.2.

Daniel Lowrey, der seit kurzem in der PHP-Welt für ordentlich Aufsehen sorgt, verweist auf Twitter darauf, dass man in PHP ebenfalls von diesem Bug betroffen ist, wenn man die PHP Stream Extension in den betroffenen OpenSSL-Versionen verwendet:

Jeder Entwickler wird nun dringend angehalten, auf OpenSSL 1.0.1g upzudaten. Die Version 1.0.2 wird mit der zweiten Beta gefixt.

Aufmacherbild: Bleeding heart – 3D von Shutterstock / Urheberrecht: Peter Eggermann

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -