Heartbleed Bug – Fehler in OpenSSL: Angreifer können Keys von Server erhalten



In OpenSSL wurde eine schwere Sicherheitslücke entdeckt, über die Angreifer mit einem manipulierten Datenpaket den Speicher auslesen können. Laut Aussagen der Entdecker der Sicherheitslücke, gelang es ihnen den privaten Schlüssel eines TLS-Servers auszulesen.

Die Sicherheitslücke wird von den Entdeckern Heartbleed Bug genannt und hat die ID CVE-2014-0160 erhalten.

Wie kann ich herausfinden welche OpenSSL Version am Server läuft?

openssl version -a

Versionen vor Openssl 1.0.1 wie OpenSSL 0.9.8 sind von der Sicherheitslücke laut Berichten eher nicht betroffen.

Für Benutzer von Linux-Distributionen wie Debian, Ubuntu und Fedora wurden inzwischen aktualisierte OpenSSL Pakete (1.0.1g)  zur Verfügung gestellt. Es wird dringend geraten, diese sofort einzuspielen!

Die Meldung auf openssl.org:

OpenSSL Security Advisory [07 Apr 2014]
TLS heartbeat read overrun (CVE-2014-0160)
A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.
Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.
Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
1.0.2 will be fixed in 1.0.2-beta2.

Aktualisierung vom 11. April 2014: Wie nicht anders zu erwarten war, hat der US-Geheimdienst NSA die Sicherheitslücke laut der Finanznachrichtenagentur Bloomberg, unter Berufung auf zwei informierte Personen, seit mindestens zwei Jahren systematisch ausgenutzt.

Links:
Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL (heise.de)
Keys auslesen mit OpenSSL (golem.de)
openssl.org

Ähnliche Artikel

Heartbleed: Anonymous Austria brachte Banken und Webseiten-Betreiber in Zugzwang Am 8. April wurde eine schwerwiegende Sicherheitslücke bei OpenSSL bekannt gemacht. Als Spitzname bekam die kritische Sicherheitslücke den Namen Heartbleed Bug. Der Twitter Account AnonAustria von Anonymus twitterte am 8. und 9. April 2014 Tweets, um die Öffentlichkeit auf die Sicherheitslücke bei Internetseiten wie beispielsweise von der Erste Bank / Sparkassen, den Wiener Linien, Ticket Express und so weiter, hinzuweisen. Dafür bedienten sie sich "eigener" Methoden und brachten die Internetser...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.