OpenSSL mit schwerwiegender Sicherheitslücke
von caschy | 12 Kommentare
Sicherheitsexperten haben eine extrem kritische Sicherheitslücke in OpenSSL entdeckt. Die Sicherheitslücke, die die Versionen 1.0.1 einschließlich 1.0.1f von OpenSSL betrifft, kann zum Auslesen von privaten Keys der Server genutzt werden, wenn ein speziell manipuliertes Datenpaket von Angreifern eingesetzt wird.
Die Sicherheitsexperten teilen mit, dass es ihnen gelungen ist, private Schlüssel von TLS-Servern zu bekommen. Der Bug, der auf den Namen Heartbleed Bug getauft wurde (basierend auf dem Heartbeat-Modul, in welchem die Lücke klafft), kann so unter Umständen verschlüsselten Traffic für Angreifer lesbar machen. Um das Ganze zu testen, griff man die eigenen Server an.
Hier gelang es, die Secret Keys des X.509-Zertifikates, Benutzernamen und Passwörter und auch Nachrichten eines Instant Messengers zu stehlen und lesbar zu machen. Die Finder rufen alle Administratoren auf, schnell die Version 1.0.1g von OpenSSL einzuspielen, die den Fehler behebt.
Betroffen sind unfassbare Mengen an Servern, OpenSSL gehört zu der populärsten Open Source Krypto-Library, sodass viele Administratoren heute erst einmal Updates einspielen werden und eventuell auch Zertifikate austauschen.
Interessierte und Betroffene finden weiterführende Informationen auf dieser Seite. Nachtrag: auf dieser Seite kann man die Server auf Verwundbarkeit testen.
Wird geladen ...
Hab heute morgen bei Linux Mint bereits nen Update bekommen! Da soll noch mal einer sagen die wären langsam…
Der NSA juckt es nur so in den Fingern.
Dann weiß ich schonmal wie heute mein Tag aussieht 🙁
Der NSA juckt es in den Fingern? Wieder ein exploit weniger, den sie nutzen können. Dafür streamlined die news nun ihre 1.0.1g exploit tools.
Man sollte erwähnen, ein reines Update ist nicht ausreichend, um die Sicherheit wiederherzustellen. Da es keine wirkliche Möglichkeit gibt, diese Attacke einwandfrei zu erkennen, sollte man auch sämtliche Zertifikate neu erstellen. Bei dieser Gelegenheit bietet es sich auch gleich an, die Keylängen zu erhöhen, ForwardSecrecy und ordentliche Cipher-Kombos einzurichten.
It’s not a bug, it’s a feature 😉
„Open Source ist sicher“. 🙂
(Ach, caschy, nein, gestohlen wurde nichts!)
Vielleicht interessant für alle NAS-Besitzer: Synology DSM 4.3 ist leider betroffen, vermutlich auch 5.0. Selber updaten geht hier wohl nicht, da heißt es wohl erstmal auf ein Update von Synology warten.
Definitiv ist auch DSM 5.0 Update 1 betroffen, habe mein NAS getestet. Synology muss das UMGEHEND patchen.
Ich werde heute abend mein NAS erst einmal vom Netz nehmen, bis ein Update veröffentlich wurde.
selbst schuld wer Linux benutzt, mit dem IIS wäre das nicht passiert 😀