OpenSSL Fehler in Verschlüsselungssoftware bedroht viele Webserver

Viele Webserver könnten von einer Sicherheitslücke in der Verschlüsselungssoftware OpenSSL betroffen sein. Der Fehler ermöglicht es Fremden, zu lauschen und Daten zu kopieren. Ein Update ist erhältlich, löst möglicherweise aber nicht alle Probleme.

OpenSSL-Website: Freie Sicherheitssoftware für freie Server-Programme

OpenSSL-Website: Freie Sicherheitssoftware für freie Server-Programme


Sicherheitsexperten von Google und der Security-Firma Codenomicon haben am Montag eine schwerwiegende Sicherheitslücke in der weit verbreiteten Internet-Sicherheitssoftware OpenSSL entdeckt. Sie berichten, dass es ihnen gelungen sei, in ein damit gesichertes Testsystem einzudringen und geheime Schlüssel, Nutzernamen, Passwörter, E-Mails und Dokumente zu stehlen. Die Lücke, genannt Heartbleed, sei auch deshalb so gravierend, weil die beliebten Server-Programme von Apache und nginx OpenSSL verwenden. Laut der aktuellen Webserver-Studie von Netcraft haben allein diese beiden Software-Pakete weltweit 66 Prozent Marktanteil.

OpenSSL ist eine Verschlüsselungssoftware, die standardmäßig auf vielen Webservern sowie in vielen E-Mail- und Instant-Messaging-Programmen im Hintergrund läuft, um die Kommunikation zu sichern. Betroffen sind die OpenSSL-Versionen 1.0.1 bis 1.0.1f. Die Lücke verbirgt sich im Code der der sogenannten Transportverschlüsselung TLS (Transport Layer Security, früher als SSL bekannt), genauer gesagt, in dem Programmteil "Heartbeat", der dafür zuständig ist, die Verschlüsselung über lange Zeit stabil zu halten.

Der Heartbeat-Bug ermöglicht es Angreifern, über das Internet den Speicher fremder, eigentlich geschützter Systeme auszulesen. Zwar lassen sich pro Angriff nur 64 Kilobyte aus dem Speicher auslesen, doch dies reicht Eindringlingen aus, um die Kommunikation zu belauschen und private Daten herunterladen.

Die gestern neben einem Warnhinweis herausgegebene Version OpenSSL1.0.1g soll den Fehler nun beheben. Die Kollegen von "Golem" werfen allerdings die Frage auf, ob ein Upgrade reicht und ob Server-Administratoren nicht vorsorglich alle bisher genutzten TLS-Zertifikate gegen neue austauschen sollten. Denn Angriffe, die bereits stattgefunden haben könnten, hinterlassen keine Spuren in den Aufzeichnungen des Servers.

abr

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 8 Beiträge
Alle Kommentare öffnen
Seite 1
sasaa 08.04.2014
1. Upgrade reicht nicht
klar, wenn die Zugangsdaten gestohlen wurden, sollte man diese auch ändern, einschließlich Zertifikaten (wenn diese eingesetzt werden), denn 64 Kb ist ne ganze Menge (64 *1024 Zeichen)
Pol Emiker 08.04.2014
2. Bin gespannt
wann der erste Fanatiker aus seiner Höhle kommt und schreit: Sehr ihr Open Source ist doch nicht sicher Gut, dass der Bug so schnell gefixed wurde!
it--fachmann 08.04.2014
3. Wer GNU benutzt ist ein Rindvieh ...
... dachte ich noch vor 10 Jahren. Aber inzwischen habe ich gelernt, dank NSA-Skandal, dass die Open-Source Software ein Vorteil für die Gesellschaft ist. Ich verstehe nur nicht, dass die das bei einer Schlüssel-Technologie wie SSL nicht gebacken bekommen. Oder ist diese Information falsch? Eine gezielte Desinformation aus politischen Gründen?
srzdme 08.04.2014
4. was den Fanatiker betrifft
Zitat von Pol Emikerwann der erste Fanatiker aus seiner Höhle kommt und schreit: Sehr ihr Open Source ist doch nicht sicher Gut, dass der Bug so schnell gefixed wurde!
da scheint mir, der erste ist bereits aus seiner Höhle gekrochen - nämlich Du. Nur halt eben ein Fanatiker der 'anderen Seite'.... Schade, dass man hier hier immer wieder Dinge gegen einander ausspielen muss. Verschiedene Ansätze (OpenSource, bezahlte Software, usw) haben doch ihre Berechtigung. Neben- und miteinander. Nicht gegeneinander.
axel_roland 09.04.2014
5. spiegel.de erkennt die Tragweite nicht
mit einem Tag Verspätung im Vergleich zur z.B. Zeit Online wird hier ein mehr oder minder 1:1 Abschrieb der bekannten Standard-Info gepostet - weit abgeschlagen nach solchen Tagesknüllern wie "neue Comic Sans". Und das bei einem Sicherheitsproblem, das vermutlich eines der katastrophalsten bisher überhaupt ist. Danke spiegel.de - ihr seid damit für mich als kompetentes Nachrichtenmagazin ein für alle Mal gestorben....
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.