Die Netzwerkausstatter Cisco und Juniper warnen, dass die Mehrzahl ihrer für eine Verbindung zum Web ausgelegten Geräte die schwere Sicherheitsanfälligkeit Heartbleed aufweist. Die Schwachstelle steckt in der Verschlüsselungslösung OpenSSL. Auf davon betroffenen Servern gespeicherte Passwörter, Schlüssel und Zertifikate müssen als möglicherweise kompromittiert gelten.
In einem Hinweis von Cisco sind elf Produkte und zwei Dienste als definitiv über diese Schwachstelle angreifbar ausgewiesen. 60 weitere gelten als „betroffen“; die Nachforschungen halten an. Überwiegend handelt es sich um Kollaborationswerkzeuge wie IP-Telefone und Kommunikationsserver.
Die beiden betroffenen Dienste sind Cisco Registered Envelope Service (CRES) und Webex Messenger Service. Beide wurden inzwischen gepatcht, Nutzer sollten also jetzt ihre Passwörter ändern.
Juniper hat zu Heartbleed mehrere Sicherheitshinweise veröffentlicht. Diverse seiner Produkte sind demnach anfällig, darunter alle mit JunOS 13.3R1 oder dem Client Odyssey 5.6r5 oder später.
Der für die Lücke verantwortliche Code war vor über zwei Jahren in SSL integriert worden – offenbar, um Fehler zu korrigieren. Angreifer können auf betroffenen Servern im Speicher vorgehaltene Informationen auslesen. Der Sicherheitsforscher Bruce Schneier nennt die Lücke „katastrophal„: „Auf einer Skala von 1 bis 10 ist das eine 11.“
Schneier schätzt, dass eine halbe Million Websites anfällig ist. Viele haben inzwischen Patches eingespielt, doch nun müssen alle möglicherweise ausspionierten Passwörter und Zertifikate gewechselt werden.
Noch schwieriger dürfte die Behebung bei Hardwareprodukten sein. Das hat für Juniper Sprecher Corey Olfert gegenüber dem Wall Street Journal bestätigt: „Es sieht nicht nach einer Sache aus, wo man einfach einen Schalter umlegt. Ich weiß nicht, wie schnell diese Lücken behoben werden können.“
[mit Material von Steven Musil, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die höchste Verbreitung erzielt die auf Datendiebstahl ausgerichtete Malware Androxgh0st. Bei den Ransomware-Gruppen liebt Clop…
Fraunhofer arbeitet an einer Plattform, die 360°-Live-Streams an mehrere Spielstätten überträgt und den Besuchern Interaktionsmöglichkeiten…
Die kommende Version von Googles Mobilbetriebssystem erreicht Plattform-Stabilität. Damit ist die Entwicklung der APIs von…
Der Manager war bis August 2024 Mitglied des Board of Directors von Intel. Der derzeitige…
Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Betroffen sind…
Betroffen sind alle unterstützten Windows-Versionen. Der März-Patchday beseitigt sieben Zero-Day-Lücken und sechs als kritisch eingestufte…
