SPIEGEL ONLINE

SPIEGEL ONLINE

08. April 2014, 11:16 Uhr

OpenSSL

Fehler in Verschlüsselungssoftware bedroht viele Webserver

Viele Webserver könnten von einer Sicherheitslücke in der Verschlüsselungssoftware OpenSSL betroffen sein. Der Fehler ermöglicht es Fremden, zu lauschen und Daten zu kopieren. Ein Update ist erhältlich, löst möglicherweise aber nicht alle Probleme.

Sicherheitsexperten von Google und der Security-Firma Codenomicon haben am Montag eine schwerwiegende Sicherheitslücke in der weit verbreiteten Internet-Sicherheitssoftware OpenSSL entdeckt. Sie berichten, dass es ihnen gelungen sei, in ein damit gesichertes Testsystem einzudringen und geheime Schlüssel, Nutzernamen, Passwörter, E-Mails und Dokumente zu stehlen. Die Lücke, genannt Heartbleed, sei auch deshalb so gravierend, weil die beliebten Server-Programme von Apache und nginx OpenSSL verwenden. Laut der aktuellen Webserver-Studie von Netcraft haben allein diese beiden Software-Pakete weltweit 66 Prozent Marktanteil.

OpenSSL ist eine Verschlüsselungssoftware, die standardmäßig auf vielen Webservern sowie in vielen E-Mail- und Instant-Messaging-Programmen im Hintergrund läuft, um die Kommunikation zu sichern. Betroffen sind die OpenSSL-Versionen 1.0.1 bis 1.0.1f. Die Lücke verbirgt sich im Code der der sogenannten Transportverschlüsselung TLS (Transport Layer Security, früher als SSL bekannt), genauer gesagt, in dem Programmteil "Heartbeat", der dafür zuständig ist, die Verschlüsselung über lange Zeit stabil zu halten.

Der Heartbeat-Bug ermöglicht es Angreifern, über das Internet den Speicher fremder, eigentlich geschützter Systeme auszulesen. Zwar lassen sich pro Angriff nur 64 Kilobyte aus dem Speicher auslesen, doch dies reicht Eindringlingen aus, um die Kommunikation zu belauschen und private Daten herunterladen.

Die gestern neben einem Warnhinweis herausgegebene Version OpenSSL1.0.1g soll den Fehler nun beheben. Die Kollegen von "Golem" werfen allerdings die Frage auf, ob ein Upgrade reicht und ob Server-Administratoren nicht vorsorglich alle bisher genutzten TLS-Zertifikate gegen neue austauschen sollten. Denn Angriffe, die bereits stattgefunden haben könnten, hinterlassen keine Spuren in den Aufzeichnungen des Servers.

abr

URL:


© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung