Heartbleed-Bug: Nutzer sollten Zugangsdaten ändern

Die von der Sicherheitsfirma Codenomicon und Google-Forscher Neel Mehta entdeckte Sicherheitslücke in OpenSSL CVE-2014-0160 besteht seit gut zwei Jahren. Dadurch ist Zugriff auf den flüchtigen Speicher eines Webservers möglich, wodurch ein Angreifer sensible Informationen wie Zugangsdaten abgreifen könnte.

Ob die in Anlehnung an die Heartbeat-Erweiterung von TLS/DTLS (RFC 6520) genannte Heardbleed-Lücke auch tatsächlich ausgenutzt wurde, kann derzeit niemand mit Sicherheit sagen. Fest steht aber, dass OpenSSL von gut zwei Dritteln aller Webseiten, die SSL zur Verschlüsselung einsetzen, verwendet wird. Allerdings bedeutet dies nicht, dass automatisch alle Server angreifbar waren. Denn dafür muss die Heartbeat-Erweiterung auch aktiviert sein. Das trifft laut Internet-Dienstleister Netcraft für gut 500.000 Webserver zu.

Die meisten von der Schwachstelle betroffenen Webserver haben die Heartbleed-Lücke mit einem Patch inzwischen geschlossen. Das bedeutet allerdings nicht, dass die Gefahr nun vorüber ist. Erst wenn auch ein neu ausgestelltes Zertifkat installiert ist, besteht für Angreifer keine Möglichkeit, die Sicherheitslücke auszunutzen.

Anwender sollten daher die Zugangsdaten des betreffenden Servers ändern, wenn Patch und Zertifikat installiert sind. Dies lässt sich mit dem Heartbleed-Checker von Lastpass überprüfen. Das Online-Tool informiert über den Installationszeitpunkt des Zertifikats. Server, deren Zertifikate vor der Entdeckung des Bugs am 7. April ausgestellt wurden, gelten als verwundbar. Eine Liste von der Heartbleed-Lücke betroffene Server steht auf Github zur Verfügung.

Lastpass-Heartbleed-Checker: Das Online-Tool informiert darüber, ob eine Webseite mit OpenSSL arbeitet und wann neue Zertifikate installiert wurden. Für Webseiten, die OpenSSL nicht oder eine andere SSL-Lösung verwenden, erscheint eine Fehlermeldung.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de