Image Image Image Image

Heartbleed Bug: OpenSSL mit schwerem Sicherheitsleck (erster Fix)

Heartbleed Bug: OpenSSL mit schwerem Sicherheitsleck (erster Fix)

Für Administratoren stehen heute und in den nächsten Tagen eine Menge Updates auf dem Tagesplan, die eingespielt werden müssen. Denn in OpenSSL wurde eine schwerwiegende Sicherheitslücke entdeckt, die das Auslesen vom Arbeitsspeicher erlaubt. OpenSSL gehört bekanntlich zu den beliebtesten und verbreitetsten Open Source Krypto Library, und ist dementsprechend oft in diversen Anwendungen anzufinden.

Entdeckt wurde das Sicherheitsleck von Google-Sicherheitsexperten und Mitarbeitern von Codenomicon, die unabhängig voneinander agierten. Betroffen ist die Heartbeat-Erweiterung vom Verschlüsselungsprotokoll TLS, das zur sicheren Datenübertragung von etlichen Servern und Client-Programmen verwendet wird. Die Sicherheitslücke wurde deshalb auch auf den Namen Heartbleed-Bug getauft.

Anzufinden ist dieser Bug aktuell in den Versionen 1.0.1 inklusive 1.0.1f von OpenSSL. Das Sicherheitsleck erlaubt es Angreifern, den privaten Key eines TLS-gesicherten Servers auszulesen. Die Wahrscheinlichkeit, dass ein Angreifer diese Lücke bereits ausnutzte, ist dabei sehr groß. Daher sollte jeder Administrator bestehende TLS-Zertifikate ersetzen. Ebenso ist es ratsam nach Updates für Mail-Programme, Browser oder anderen verwendeten Tools Ausschau zu halten, die in den nächsten Stunden und Tagen mit Sicherheit zur Verfügung stehen werden.

Da dieses schwere Leck das Auslesen von sensiblen Daten wie Passwörter, Benutzernamen oder Kurznachrichten über den Traffic erlaubt, sollte jeder schnellstmöglich OpenSSL in der neuesten Version aufspielen. Informationen zur neuen OpenSSL 1.0.1g Version, in der der Fix enthalten ist, erhaltet ihr an dieser Stelle.


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:



← Menü öffnen weblogit.net | Home