[Prince]

Zitat:

Der Security-Szene tränt das Herz. Eine massive Sicherheitslücke in verschiedenen Versionen von OpenSSL macht verschlüsselte Verbindungen über das Netz in einem ungeahnten Ausmaß angreifbar.

"Heartbleed" nannte man das Problem treffend, das einen großen Teil der als sicher geltenden Online-Kommunikation betrifft. Alle OpenSSL-Versionen, die seit dem Dezember 2011 veröffentlicht wurden, sind betroffen. Ein gestern veröffentlichter Patch soll für Abhilfe sorgen - doch es wird dauern, bis dieser wirklich breit verteilt ist.

Bis es soweit ist, können Datenübertragungen via SSL oder TLS nicht mehr als sicher gelten. Der Fehler erlaubt es einem Angreifer, die Informationen, die zwischen dem Nutzer und einem Webservice fließen, auszuspionieren. Doch nicht nur das: Da auf diesem Weg auch Schlüssel und Passwörter ausgelesen werden können, ist es möglich, komplett in die Accounts bei den jeweiligen Diensten einzudringen und sensible Daten zu entwenden.

Umgehende Updates sind zwingend
Entdeckt wurde das Problem von Sicherheitsforschern der Firma Codenomicon und Neel Mehta aus dem Security-Team von Google. Auf Basis ihrer Informationen konnten die Entwickler der OpenSSL-Bibliothek inzwischen für Abhilfe sorgen. Administratoren sind daher aufgefordert, umgehend zu überprüfen, ob auf ihren Systemen unsichere Versionen laufen und entsprechende Updates vorzunehmen.


Die Verwendung von OpenSSL beschränkt sich bei weitem nicht auf Webserver. Auch E-Mail-Systeme, Chats, VPNs und verschiedene andere Dienste vertrauten bisher darauf, dass sie ihre Kommunikationswege mit der Bibliothek absichern können. Der Bug entbehrt auch nicht einer gewissen Ironie - setzten doch angesichts der Snowden-Enthüllungen viele Nutzer und Firmen darauf, die Geheimdienste mit der Umstellung auf SSL zumindest zu einem gewissen Teil auszusperren.

Aufgrund der schwerwiegenden Bedeutung der Sicherheitslücke für das Netz, wurde inzwischen auch eine komplett eigene Webseite aufgesetzt, die über das Problem informiert. Hier können sich Administratoren aber auch interessierte Nutzer tiefergehende Informationen einholen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Avantasia]

Zitat:

Zwei Sicherheitsteams haben separat voneinander einen Fehler in OpenSSL entdeckt, der das Auslesen des Arbeitsspeichers zulässt. Somit könnten Angreifer sogar an private Server-Keys gelangen. Die Sicherheitslücke wurde bereits vor zwei Jahren mit OpenSSL 1.0.1 eingeführt und gab Angreifern somit reichlich Zeit, Schaden anzurichten.

OpenSSL ist eine Bibliothek, die von einem großen Teil der Server-Betreiber zur Verschlüsselung der Daten genutzt wird. Laut Qualys-Mitarbeiter Ivan Ristic unterstützen etwa ein Drittel aller HTTPS-Server im Netz TLS 1.2 und sind demnach sehr wahrscheinlich dank der Sicherheitslücke angreifbar. Der sogenannte Heartbleed-Bug erlaube es bereits seit zwei Jahren jedem Kommunikationspartner, den Arbeitsspeicher des Gegners auszulesen. Damit würde es einem Angreifer möglich gemacht werden an zahlreiche elementar wichtige Daten zu gelangen: von geheimen Daten über Passwörter bis hin zu ganzen Server-Schlüsseln.

Der Bug existiert seit der Veröffentlichung der Heartbeat-Erweiterung, die vor zwei Jahren in OpenSSL 1.0.1 implementiert und bis Version 1.0.1f weiterhin genutzt wurde. Für die Entdeckung der Sicherheitslücke zeichnen zwei voneinander unabhängige Sicherheitsteams verantwortlich: Eines ist für die finnische Sicherheitsfirma Codenomicon tätig, das andere wird von Google bezahlt.

Serverbetreiber, die OpenSSL ab der Version 1.0.1 nutzten, sind nun angehalten, schnellstmöglich Vorkehrungen zu treffen, um die Sicherheitslücke zu schließen. In der neuen Version 1.0.1g wurde der Fehler zwar behoben, es ist jedoch durchaus möglich, dass relevante Server-Schlüssel bereits ausgelesen wurden. Dies würde bedeuten, dass alle Administratoren die betroffenen Zertifikate durch neue austauschen und ihre Nutzer auffordern müssten, ihr Passwort zu ändern. Um sicher zu gehen, dass Angreifer die in der Vergangenheit erlangten Daten nicht weiterhin nutzen können, führt daran jedoch kaum ein Weg vorbei.
Sicherheitsfirma steht in der Kritik

Für Diskussion sorgt die Art und Weise, wie die Öffentlichkeit über den Heartbleed-Bug informiert wurde. Er wurde von der Sicherheitsfirma CloudFare mit dem Hinweis öffentlich gemacht, dass sie den Fehler dank Informationen der OpenSSL-Entwickler beheben konnten. Das Problem: Der entsprechende Patch war noch nicht bereit, um für die Masse zugänglich gemacht zu werden. Damit wurden weitere potenzielle Angreifer über die Sicherheitslücke informiert, bevor sie geschlossen werden konnte.

Um herauszufinden, ob ein HTTPS-Server vom Heartbleed-Bug betroffen ist, wurde bereits eine [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] ins Leben gerufen. Für Nutzer von Mac OS X Mavericks gibt es jedoch gute Nachrichten: Weil dort eine ältere Version von OpelSSL verwendet wird, ist der Bug für das Betriebssystem ungefährlich. /rs

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]