Sicherheitsbug in OpenSSL entdeckt
Kommentare

Gestern Abend wurde ein Sicherheitsbug in OpenSSL entdeckt, der anscheinend schon seit zwei Jahren im System steckt.

Das bedeutet, dass eine sichere Verschlüsselung der Kommunikation nicht mehr gewährleistet werden kann, da OpenSSL von vielen Mailservern, Instant Messengers, VPN Clients und anderen Diensten zur Kommunikation, sowie zum Schutz von Websites verwendet wird. Über diese Sicherheitslücke, genannt Heartbleed Bug, ist es möglich, den Arbeitsspeicher nahezu jedes TLS-Servers auszulesen und Verschlüsselungsinformationen, Keys und Passwörter zu erhalten, sowie auch den Inhalt der Nachrichten.

Der Bug befindet sich im Code der als „Heartbeat“ bezeichneten Erweiterung die vor zwei Jahren implementiert wurde. Deshalb wird vermutet, dass die Sicherheitslücke Angreifern schon seit März 2012 bekannt sein könnte. Dieser Programmierfehler sorgte dafür, dass private Schlüssel und andere sensible Daten über einen langen Zeitraum quasi ungeschützt im Netz verfügbar waren.

„We have tested some of our own services from attacker’s perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.“ Codenomicon Ltd.

Für den Zugriff auf die Daten ist keine man-in-the-middle Attacke notwending und auch kein Vorwissen. Die Keys konnten in Testläufen gestolen werden, ohne eine Spur zu hinterlassen. Aufgrund dieser Erkenntnisse müssen alle Betreiber davon ausgehen, dass ihre Systeme angegriffen worden, da es keinen Weg gibt, das Gegenteil zu beweisen. Betroffen sind die OpenSSL Versionen 1.0.1 bis einschließlich 1.0.1f und 1.0.2-beta, weshalb OpenSSL dringend empfiehlt zu der korrigierten und gestern veröffentlichten Version 1.0.1g zu wechseln.

„If that’s not possible, users should recompile OpenSSL with the -DOPENSSL_NO_HEARTBEATS flag to remove the the heartbeat handshake.“ IT News

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -