Heartbleed: Linux-Distributoren stellen Patches für OpenSSL-Lücke bereit

Linux-Distributoren haben schnell auf den Anfang der Woche bekannt gewordenen schwerwiegenden Fehler in OpenSSL reagiert und bieten inzwischen Patches für die Lücke an. Sie liegen bisher für CentOS, Debian, Fedora, Red Hat, openSUSE und Ubuntu vor. SUSE Linux Enterprise Server (SLES) war von dem „Heartbleed“ getauften Bug nicht betroffen, den OpenSSL am 7. April mit der Version 1.01g korrigiert hat.

Heartbleed, dessen offizielle Kennung CVE-2014-0160 lautet, ermöglicht den Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten im Speicher könnten Angreifer kritische Informationen sammeln und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschaffen. Sie könnten auch Nutzernamen und Passwörter von Usern auslesen.

Da die fehlerhafte OpenSSL-Version 1.01 schon am 12. März 2012 veröffentlicht wurde, sind Millionen Websites potenziell anfällig für einen Angriff über die Lücke. Betroffen waren unter anderem Yahoo, Imgur und OKCupid. Auch der Passwortmanager LastPass zählte laut Caschys Blog zu den Opfern.

OpenSSL ist eine quelloffene und weit verbreitete Lösung für verschlüsselte Online-Kommunikation mit SSL/TLS via Apache- und Nginx-Webserver. Sie kann für HTTPS ebenso wie E-Mail- oder Messaging-Verschlüsselung verwendet werden. Schätzungen gehen davon aus, dass zwei Drittel, aller „abgesicherten“ Websites den Heartbleed-Fehler aufweisen.

Was das Risiko noch erhöht, ist, dass inzwischen Proof-of-concept-Code im Umlauf ist, mit dem Script-Kiddies Angriffsversuche auf HTTPS-Webseiten starten können. Ob die eigene Website anfällig für solche Angriffe ist, lässt sich auf einer von Filippo Valsorda bereitgestellten Heartbleed-Testseite prüfen.

Auch angesichts täglicher Meldungen über Sicherheitslücken ist Heartbleed ein schweres und möglicherweise folgenreiches Problem für die Internet-Technik. Websites müssen aufwändig modifiziert werden, und eigentlich müsste jeder Besucher einer gefährdeten Site sein Passwort wechseln, weil es ja längst kompromittiert sein könnte. Analog müssten zahlreiche potenziell entwendete Sicherheitszertifikate zurückgezogen werden.

Die Gefahr ist etwas weniger groß für Websites, die bereits die Funktion Perfect Forward Secrecy nutzen. Sie wechselt den Sicherheitsschlüssel für jede Session, ohne dass sich daraus Rückschlüsse auf den Master Key ziehen ließen. Der Diebstahl eines Session Key etwa mit Heartbleed hat somit kaum Folgen.

Nutzer sollten die Zugangsdaten von betroffenen Servern ändern, sofern die Betreiber den Patch und eine neues Zertifikat eingespielt haben.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago