Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

OpenSSL: Fehler in Verschlüsselungssoftware bedroht viele Webserver

OpenSSL-Website: Freie Sicherheitssoftware für freie Server-Programme Zur Großansicht

OpenSSL-Website: Freie Sicherheitssoftware für freie Server-Programme

Viele Webserver könnten von einer Sicherheitslücke in der Verschlüsselungssoftware OpenSSL betroffen sein. Der Fehler ermöglicht es Fremden, zu lauschen und Daten zu kopieren. Ein Update ist erhältlich, löst möglicherweise aber nicht alle Probleme.

Sicherheitsexperten von Google und der Security-Firma Codenomicon haben am Montag eine schwerwiegende Sicherheitslücke in der weit verbreiteten Internet-Sicherheitssoftware OpenSSL entdeckt. Sie berichten, dass es ihnen gelungen sei, in ein damit gesichertes Testsystem einzudringen und geheime Schlüssel, Nutzernamen, Passwörter, E-Mails und Dokumente zu stehlen. Die Lücke, genannt Heartbleed, sei auch deshalb so gravierend, weil die beliebten Server-Programme von Apache und nginx OpenSSL verwenden. Laut der aktuellen Webserver-Studie von Netcraft haben allein diese beiden Software-Pakete weltweit 66 Prozent Marktanteil.

OpenSSL ist eine Verschlüsselungssoftware, die standardmäßig auf vielen Webservern sowie in vielen E-Mail- und Instant-Messaging-Programmen im Hintergrund läuft, um die Kommunikation zu sichern. Betroffen sind die OpenSSL-Versionen 1.0.1 bis 1.0.1f. Die Lücke verbirgt sich im Code der der sogenannten Transportverschlüsselung TLS (Transport Layer Security, früher als SSL bekannt), genauer gesagt, in dem Programmteil "Heartbeat", der dafür zuständig ist, die Verschlüsselung über lange Zeit stabil zu halten.

Der Heartbeat-Bug ermöglicht es Angreifern, über das Internet den Speicher fremder, eigentlich geschützter Systeme auszulesen. Zwar lassen sich pro Angriff nur 64 Kilobyte aus dem Speicher auslesen, doch dies reicht Eindringlingen aus, um die Kommunikation zu belauschen und private Daten herunterladen.

Die gestern neben einem Warnhinweis herausgegebene Version OpenSSL1.0.1g soll den Fehler nun beheben. Die Kollegen von "Golem" werfen allerdings die Frage auf, ob ein Upgrade reicht und ob Server-Administratoren nicht vorsorglich alle bisher genutzten TLS-Zertifikate gegen neue austauschen sollten. Denn Angriffe, die bereits stattgefunden haben könnten, hinterlassen keine Spuren in den Aufzeichnungen des Servers.

abr

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 8 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Upgrade reicht nicht
sasaa 08.04.2014
klar, wenn die Zugangsdaten gestohlen wurden, sollte man diese auch ändern, einschließlich Zertifikaten (wenn diese eingesetzt werden), denn 64 Kb ist ne ganze Menge (64 *1024 Zeichen)
2. Bin gespannt
Pol Emiker 08.04.2014
wann der erste Fanatiker aus seiner Höhle kommt und schreit: Sehr ihr Open Source ist doch nicht sicher Gut, dass der Bug so schnell gefixed wurde!
3. Wer GNU benutzt ist ein Rindvieh ...
it--fachmann 08.04.2014
... dachte ich noch vor 10 Jahren. Aber inzwischen habe ich gelernt, dank NSA-Skandal, dass die Open-Source Software ein Vorteil für die Gesellschaft ist. Ich verstehe nur nicht, dass die das bei einer Schlüssel-Technologie wie SSL nicht gebacken bekommen. Oder ist diese Information falsch? Eine gezielte Desinformation aus politischen Gründen?
4. was den Fanatiker betrifft
srzdme 08.04.2014
Zitat von Pol Emikerwann der erste Fanatiker aus seiner Höhle kommt und schreit: Sehr ihr Open Source ist doch nicht sicher Gut, dass der Bug so schnell gefixed wurde!
da scheint mir, der erste ist bereits aus seiner Höhle gekrochen - nämlich Du. Nur halt eben ein Fanatiker der 'anderen Seite'.... Schade, dass man hier hier immer wieder Dinge gegen einander ausspielen muss. Verschiedene Ansätze (OpenSource, bezahlte Software, usw) haben doch ihre Berechtigung. Neben- und miteinander. Nicht gegeneinander.
5. spiegel.de erkennt die Tragweite nicht
axel_roland 09.04.2014
mit einem Tag Verspätung im Vergleich zur z.B. Zeit Online wird hier ein mehr oder minder 1:1 Abschrieb der bekannten Standard-Info gepostet - weit abgeschlagen nach solchen Tagesknüllern wie "neue Comic Sans". Und das bei einem Sicherheitsproblem, das vermutlich eines der katastrophalsten bisher überhaupt ist. Danke spiegel.de - ihr seid damit für mich als kompetentes Nachrichtenmagazin ein für alle Mal gestorben....
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Andreas Brohme
    Gadgets, Apps, neue Technologien - der Hamburger Andreas Brohme schreibt seit über 20 Jahren über Neues aus Digitalien. In seiner Freizeit spielt er - ganz analog - vor allem Gitarre.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: