OpenSSL mit schwerwiegender Sicherheitslücke

8. April 2014 Kategorie: Backup & Security, Internet, geschrieben von:

Sicherheitsexperten haben eine extrem kritische Sicherheitslücke in OpenSSL entdeckt. Die Sicherheitslücke, die die Versionen  1.0.1 einschließlich 1.0.1f von OpenSSL betrifft, kann zum Auslesen von privaten Keys der Server genutzt werden, wenn ein speziell manipuliertes Datenpaket von Angreifern eingesetzt wird.

openssl-logo_1

Die Sicherheitsexperten teilen mit, dass es ihnen gelungen ist, private Schlüssel von TLS-Servern zu bekommen. Der Bug, der auf den Namen Heartbleed Bug getauft wurde (basierend auf dem Heartbeat-Modul, in welchem die Lücke klafft), kann so unter Umständen verschlüsselten Traffic für Angreifer lesbar machen. Um das Ganze zu testen, griff man die eigenen Server an.

Hier gelang es, die Secret Keys des X.509-Zertifikates, Benutzernamen und Passwörter und auch Nachrichten eines Instant Messengers zu stehlen und lesbar zu machen. Die Finder rufen alle Administratoren auf, schnell die Version 1.0.1g von OpenSSL einzuspielen, die den Fehler behebt.

Betroffen sind unfassbare Mengen an Servern, OpenSSL gehört zu der populärsten Open Source Krypto-Library, sodass viele Administratoren heute erst einmal Updates einspielen werden und eventuell auch Zertifikate austauschen.

Interessierte und Betroffene finden weiterführende Informationen auf dieser Seite. Nachtrag: auf dieser Seite kann man die Server auf Verwundbarkeit testen.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Quelle: Tim Bray |

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25419 Artikel geschrieben.