Forum: Netzwelt
Nach Heartbleed: Entwickler warnen vor Schwachstelle in OpenSSL-Verschlüsselung

Wenige Wochen nach der schweren Heartbleed-Sicherheitslücke taucht ein neuer Fehler in der Internet-Verschlüsselungssoftware OpenSSL auf. Die Schwachstelle ermöglicht Angreifern, den unbemerkt Datenstrom anzuzapfen - und ist seit 16 Jahren unentdeckt.

ncc1701 06.06.2014, 15:38
1. Da kommt noch mehr...

Wegen Heartbleed sind überhaupt erst Leute auf die Idee gekommen, einen Code-Audit durchzuführen. Der neue Fall zeigt:
1. Es wurde offenbar noch nie ein Code-Audit gemacht.
2. Nutzer des Codes (Hersteller sicherheitsrelevanter Software) haben den Code auch nie geprüft
3. Dass so kurz nach Beginn des Audits solche Fehler entdeckt wurden, zeigt dass es sich um mehr oder weniger offensichtliche Fehler handelt.

Fazit: Man wird noch sehr viel mehr Fehler dieser Art finden.

Beitrag melden Antworten / Zitieren
otto987 06.06.2014, 16:34
2. Panikmache

Das ist ganz schön viel Panikmache. Der Fehler lässt sich nur ausnutzen, wenn Webbrowser UND Server die verwundbare Version von OpenSSL verwenden. Nun kenne ich bis auf Konqueror aber keinen modernen Webbrowser, der OpenSSL verwendet. Firefox, Seamonkey verwenden NSS, Chrome weiss ich nicht und IE verwendet irgendein Microsoft-SSL. Ist also ziemlich unwahrscheinlich, dass der Fehler überhaupt ausgenutzt werden kann. Nichtsdestotrotz sollten trotzdem alle ihre OpenSSL Version updaten.

Beitrag melden Antworten / Zitieren
Dr.Fuzzi 06.06.2014, 22:28
3. Och Joh!

Es bleibt zu hoffen, das nun endlich diese mantraartig von Linuxjüngern verbreitete Mär einer prompten Fehlerentdeckung und -beseitigung, da der Quellcode offen und dessen Bearbeiter/Tester so unglaublich qualifiziert und zahlreich seien, endgültig ad absurdum geführt ist.

Beitrag melden Antworten / Zitieren
Dr.Fuzzi 06.06.2014, 22:34
4. Och Joh!

Es bleibt zu hoffen, das nun endlich diese mantraartig von Linuxjüngern verbreitete Mär einer prompten Fehlerentdeckung und -beseitigung, da der Quellcode offen und dessen Bearbeiter/Tester so unglaublich qualifiziert und zahlreich seien, endgültig ad absurdum geführt ist.

Beitrag melden Antworten / Zitieren
nipah 07.06.2014, 12:09
5.

Zitat von otto987
Das ist ganz schön viel Panikmache. Der Fehler lässt sich nur ausnutzen, wenn Webbrowser UND Server die verwundbare Version von OpenSSL verwenden. Nun kenne ich bis auf Konqueror aber keinen modernen Webbrowser, der OpenSSL verwendet. Firefox, Seamonkey verwenden NSS, Chrome weiss ich nicht und IE verwendet irgendein Microsoft-SSL. Ist also ziemlich unwahrscheinlich, dass der Fehler überhaupt ausgenutzt werden kann.
Chrome auf Android verwendet OpenSSL (http://www.zdnet.com/openssl-fixes-a...ty-7000030253/). Für Desktops verwendet es NSS, wobei jedoch im Januar 2014 angekündigt wurde hier auch auf OpenSSL umzustellen (http://www.golem.de/news/chrome-open...01-104187.html).

Beitrag melden Antworten / Zitieren