computerwoche.de

Security

"Heartbleed"

Testen Sie, ob Ihr OpenSSL-Dienst sicher ist

09.04.2014
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Alle Posts des Autors Email: Connect:
Die schwere Sicherheitslücke in OpenSSL trifft Web-Provider und Cloud-Services weitgehend unvorbereitet. Anwender sollten in den kommenden Tagen deshalb besonders vorsichtig sein. Wir geben Ihnen Tipps, wie Sie feststellen, ob und wie auch Sie betroffen sein können.

Der "Heartbleed"-Bug in der Krypto-Softwarebibliothek OpenSSL ist deshalb so gefährlich, weil zwei Dritter aller Web-Server (Apache, nginx) die Bibliothek einsetzen, sie überdies in E-Mail- und Messaging-Diensten und sogar Betriebssystemen werkelt.

Viele Server-Betreiber haben bereits reagiert und ihre OpenSSL-Installationen gepatcht. Auch bieten die meisten Linux-Distributionen inzwischen die geupdatete Version via Paketmanager an.

Einige Services sind aber nach wie vor anfällig. Wer wissen möchte, ob ein von ihm genutzter Online-Dienst noch anfällig ist, kann dies auf http://filippo.io/Heartbleed/ und http://possible.lv/tools/hb/ tun. Für Server-Betreiber steht das Heartbleed-Checker-Script auch für einen lokalen Test zur Verfügung. Weitere Testmodule sind für Metasploit, Nessus, OpenVAS und Nmap erhältlich.