OpenSSL mit schwerwiegender Sicherheitslücke

Sicherheitsexperten haben eine extrem kritische Sicherheitslücke in OpenSSL entdeckt. Die Sicherheitslücke, die die Versionen  1.0.1 einschließlich 1.0.1f von OpenSSL betrifft, kann zum Auslesen von privaten Keys der Server genutzt werden, wenn ein speziell manipuliertes Datenpaket von Angreifern eingesetzt wird.

openssl-logo_1

Die Sicherheitsexperten teilen mit, dass es ihnen gelungen ist, private Schlüssel von TLS-Servern zu bekommen. Der Bug, der auf den Namen Heartbleed Bug getauft wurde (basierend auf dem Heartbeat-Modul, in welchem die Lücke klafft), kann so unter Umständen verschlüsselten Traffic für Angreifer lesbar machen. Um das Ganze zu testen, griff man die eigenen Server an.

Hier gelang es, die Secret Keys des X.509-Zertifikates, Benutzernamen und Passwörter und auch Nachrichten eines Instant Messengers zu stehlen und lesbar zu machen. Die Finder rufen alle Administratoren auf, schnell die Version 1.0.1g von OpenSSL einzuspielen, die den Fehler behebt.

Betroffen sind unfassbare Mengen an Servern, OpenSSL gehört zu der populärsten Open Source Krypto-Library, sodass viele Administratoren heute erst einmal Updates einspielen werden und eventuell auch Zertifikate austauschen.

Interessierte und Betroffene finden weiterführende Informationen auf dieser Seite. Nachtrag: auf dieser Seite kann man die Server auf Verwundbarkeit testen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Hab heute morgen bei Linux Mint bereits nen Update bekommen! Da soll noch mal einer sagen die wären langsam…

  2. Der NSA juckt es nur so in den Fingern.

  3. Dann weiß ich schonmal wie heute mein Tag aussieht 🙁

  4. Der NSA juckt es in den Fingern? Wieder ein exploit weniger, den sie nutzen können. Dafür streamlined die news nun ihre 1.0.1g exploit tools.

  5. Man sollte erwähnen, ein reines Update ist nicht ausreichend, um die Sicherheit wiederherzustellen. Da es keine wirkliche Möglichkeit gibt, diese Attacke einwandfrei zu erkennen, sollte man auch sämtliche Zertifikate neu erstellen. Bei dieser Gelegenheit bietet es sich auch gleich an, die Keylängen zu erhöhen, ForwardSecrecy und ordentliche Cipher-Kombos einzurichten.

  6. It’s not a bug, it’s a feature 😉

  7. „Open Source ist sicher“. 🙂

    (Ach, caschy, nein, gestohlen wurde nichts!)

  8. DancingBallmer says:

    Vielleicht interessant für alle NAS-Besitzer: Synology DSM 4.3 ist leider betroffen, vermutlich auch 5.0. Selber updaten geht hier wohl nicht, da heißt es wohl erstmal auf ein Update von Synology warten.

  9. Definitiv ist auch DSM 5.0 Update 1 betroffen, habe mein NAS getestet. Synology muss das UMGEHEND patchen.

    Ich werde heute abend mein NAS erst einmal vom Netz nehmen, bis ein Update veröffentlich wurde.

  10. selbst schuld wer Linux benutzt, mit dem IIS wäre das nicht passiert 😀

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.