OpenSSL mit schwerwiegender Sicherheitslücke

Sicherheitsexperten haben eine extrem kritische Sicherheitslücke in OpenSSL entdeckt. Die Sicherheitslücke, die die Versionen  1.0.1 einschließlich 1.0.1f von OpenSSL betrifft, kann zum Auslesen von privaten Keys der Server genutzt werden, wenn ein speziell manipuliertes Datenpaket von Angreifern eingesetzt wird.

openssl-logo_1

Die Sicherheitsexperten teilen mit, dass es ihnen gelungen ist, private Schlüssel von TLS-Servern zu bekommen. Der Bug, der auf den Namen Heartbleed Bug getauft wurde (basierend auf dem Heartbeat-Modul, in welchem die Lücke klafft), kann so unter Umständen verschlüsselten Traffic für Angreifer lesbar machen. Um das Ganze zu testen, griff man die eigenen Server an.

Hier gelang es, die Secret Keys des X.509-Zertifikates, Benutzernamen und Passwörter und auch Nachrichten eines Instant Messengers zu stehlen und lesbar zu machen. Die Finder rufen alle Administratoren auf, schnell die Version 1.0.1g von OpenSSL einzuspielen, die den Fehler behebt.

Betroffen sind unfassbare Mengen an Servern, OpenSSL gehört zu der populärsten Open Source Krypto-Library, sodass viele Administratoren heute erst einmal Updates einspielen werden und eventuell auch Zertifikate austauschen.

Interessierte und Betroffene finden weiterführende Informationen auf dieser Seite. Nachtrag: auf dieser Seite kann man die Server auf Verwundbarkeit testen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Hab heute morgen bei Linux Mint bereits nen Update bekommen! Da soll noch mal einer sagen die wären langsam…

  2. Der NSA juckt es nur so in den Fingern.

  3. Dann weiß ich schonmal wie heute mein Tag aussieht 🙁

  4. Der NSA juckt es in den Fingern? Wieder ein exploit weniger, den sie nutzen können. Dafür streamlined die news nun ihre 1.0.1g exploit tools.

  5. Man sollte erwähnen, ein reines Update ist nicht ausreichend, um die Sicherheit wiederherzustellen. Da es keine wirkliche Möglichkeit gibt, diese Attacke einwandfrei zu erkennen, sollte man auch sämtliche Zertifikate neu erstellen. Bei dieser Gelegenheit bietet es sich auch gleich an, die Keylängen zu erhöhen, ForwardSecrecy und ordentliche Cipher-Kombos einzurichten.

  6. It’s not a bug, it’s a feature 😉

  7. „Open Source ist sicher“. 🙂

    (Ach, caschy, nein, gestohlen wurde nichts!)

  8. DancingBallmer says:

    Vielleicht interessant für alle NAS-Besitzer: Synology DSM 4.3 ist leider betroffen, vermutlich auch 5.0. Selber updaten geht hier wohl nicht, da heißt es wohl erstmal auf ein Update von Synology warten.

  9. Definitiv ist auch DSM 5.0 Update 1 betroffen, habe mein NAS getestet. Synology muss das UMGEHEND patchen.

    Ich werde heute abend mein NAS erst einmal vom Netz nehmen, bis ein Update veröffentlich wurde.

  10. selbst schuld wer Linux benutzt, mit dem IIS wäre das nicht passiert 😀

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.