"Heartbleed"

Schwere Sicherheitslücke in OpenSSL entdeckt

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Forscher haben eine extrem kritische Schwachstelle in der Krypto-Softwarebibliothek OpenSSL gefunden.

Geschätzte zwei Drittel aller Web-Server (OpenSSL kommt standardmäßig in Apache und nginx zum Einsatz) verwenden die Library, um sich gegenüber Endnutzern zu identifizieren und das Abgreifen von Passwörtern, Bankdaten und anderen sensiblen Informationen zu verhindern. OpenSSL steckt überdies auch in vielen Betriebssystemen sowie E-Mail- und Instant-Messaging-Programmen, wie unter anderem der Branchendienst "Ars Technica" berichtet.

Foto: Codenomicon

Der jetzt von Sicherheitsexperten bei Google und Codenomicon öffentlich gemachte Fehler (CVE-2014-0160) steckt seit mehr als zwei Jahren in den Produktionsversionen 1.0.1 bis 1.0.1f von OpenSSL, genauer in der Implementierung der TLS-Heartbeat-Erweiterung (IETF RFC 6520). Er wurde deswegen "Heartbleed" getauft und ermöglicht es, den privaten Schlüssel digitaler Zertifikate wiederherzustellen und anschließend missbräuchlich zu verwenden. Das hinterlässt dummerweise keinerlei Spuren in den Server-Logfiles und erschwert damit eine entsprechende Forensik enorm.

Zwar gibt es bereits die fehlerbereinigte OpenSSL-Version 1.0.1g, neben dem Einspielen des Patches könnten aber noch weitere Sicherheitsmaßnahmen wie das Rückrufen betroffener Keys und Ausgabe neuer Schlüssel sowie das Ungültigmachen von Session-Keys und -Cookies erfordern.

Derzeit häufen sich Sicherheitslücken rund um HTTPS, die stardardmäßige und oft einzige Methode zur Verschlüsselung von Webseiten. Im vergangenen Monat hatten die Entwickler von GnuTLS eine ähnlich gravierende Sicherheitslücke gemeldet, und im Februar musste Apple ein dickes Leck ("GoToFail") in seinen Betriebssystemen iOS und OS X stopfen.