Katastrophe: OpenSSL mit Heartbleed-Sicherheitslücke

SicherheitDie Open Source-Bibliothek OpenSSL weist (wegen eines Bugs) eine dicke Zero-Day-Sicherheitslücke auf, die bisher noch nicht gepatcht ist. Brisant, weil viele OpenSource-Produkte ihre Verschlüsselung auf diese Bibliothek stützen.


Anzeige

Wie ZDNet.com in diesem Artikel schreibt sind zwar nur die OpenSSL 1.0.1 und die 1.0.2-beta-release von diesem Bug betroffen. Aber die Verschlüsselungsbibliothek ist quasi in fast allen Open Source-Produkten beinhaltet. Momentan muss man davon ausgehen, dass SLL- und TLS-verschlüsselte Nachrichten unsicher sind.

Bei heise.de gibt es hier noch einige Details zum Bug, der es einem Angreifer ermöglicht, Passwörter und weitere Informationen einzusehen. Das pikante: Die Entdecker des Heartbleed-Bugs veröffentlichten die Informationen, bevor entsprechende Patches in den verwendeten Produkten verfügbar sind. Eine vom Bug bereinigte OpenSLL-Variante ist zwar jetzt verfügbar. Das betrifft aber nicht Produkte, die diese Bibliothek nutzen, aber bereits ausgerollt sind.

So arbeiten Linux-Entwickler bei Red Hat, Debian, SuSE, Canonical, Oracle etc. momentan fieberhaft daran arbeiten, Patches für ihre Produkte bereitzustellen. Das Problem geht aber weiter. heise.de schreibt hier mit Recht, dass nicht nur PCs, sondern auch Geräte wie Smartphones oder Smart TVs betroffen seien. Mir schoss sofort der Gedanke "und Router" durch den Kopf – und in der Tat werden die bei heise.de auch genannt. Insbesondere bei Android-Smartphones muss man bei vielen Geräten davon ausgehen, dass keine Updates herauskommen. Und da träumen die Marketing-Strategen vom Internet der Dinge – welches sicherheitstechnisch löchrig wie ein Emmentaler daher kommt.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Katastrophe: OpenSSL mit Heartbleed-Sicherheitslücke

  1. Günter Born sagt:

    Nachtrag: Gute Nachrichten für FRITZ!Box-Nutzer

    In meinen Facebook-Timelines gibt es eine Info von Thomas K. – dieser hat geschrieben: „Hier mal eine Antwort – von AVM:

    "Aktuell weisen Medienberichte auf eine Sicherheitslücke bei OpenSSL hin. Die gute Nachricht für FRITZ!-Nutzer: Die in den FRITZ!Box-Modellen wie auch in den FRITZ!WLAN Repeatern zum Einsatz kommende Version von OpenSSL (0.9.8) ist von dieser Lücke nicht betroffen." (Quelle: http://www.avm.de/de/News/artikel/2014/open_ssl_fbox_nicht_betroffen.html?linkident=kurznotiert)"

    Na, das ist ja schon mal eine gute Nachricht. Wenn ich dann meine Androiden anwerfe, gehe ich über WLAN in dieses Internets (und hoffe, dass die WiFi-Verbindung nicht belauscht wird). Und bei 2G/3G/4G-Verbindungen muss ich hoffen, dass kein "man-in-the-middle" meine Kommunikation mitschneidet. Aber immerhin – wenigstens etwas positives.

    Und es gibt den Hinweis, dass es unter Android nur die Version 4.1.1 trifft (muss ich noch verifizieren – ich bin nicht so genau im Bilde, welche Android-Version auf welcher OpenSSL Build aufsetzt). Wenn ich was belastbares herausfinde, trage ich es nach. Update: Die Info findet sich in diesem reddit.com-Thread. Und hier habe ich noch eine weitere Ergänzung veröffentlicht.

  2. Günter Born sagt:

    Nachtrag: Noch eine unschöne Info, die ich euch nicht vorenthalten möchte. Sind Server-Zertifikate durch Heartbleed kompromittiert, können Server-Administratoren diese zwar zurückziehen. Aber die Browser bekommen das mitunter nicht mit, weil die betreffende Prüfung nicht ausgeführt wird. Einige Inside-Betrachtungen finden sich hier bei heise.de.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.