Die Netzwerkausstatter Cisco und Juniper warnen, dass die Mehrzahl ihrer für eine Verbindung zum Web ausgelegten Geräte die schwere Sicherheitsanfälligkeit Heartbleed aufweist. Die Schwachstelle steckt in der Verschlüsselungslösung OpenSSL. Auf davon betroffenen Servern gespeicherte Passwörter, Schlüssel und Zertifikate müssen als möglicherweise kompromittiert gelten.
In einem Hinweis von Cisco sind elf Produkte und zwei Dienste als definitiv über diese Schwachstelle angreifbar ausgewiesen. 60 weitere gelten als „betroffen“; die Nachforschungen halten an. Überwiegend handelt es sich um Kollaborationswerkzeuge wie IP-Telefone und Kommunikationsserver.
Die beiden betroffenen Dienste sind Cisco Registered Envelope Service (CRES) und Webex Messenger Service. Beide wurden inzwischen gepatcht, Nutzer sollten also jetzt ihre Passwörter ändern.
Juniper hat zu Heartbleed mehrere Sicherheitshinweise veröffentlicht. Diverse seiner Produkte sind demnach anfällig, darunter alle mit JunOS 13.3R1 oder dem Client Odyssey 5.6r5 oder später.
Der für die Lücke verantwortliche Code war vor über zwei Jahren in SSL integriert worden – offenbar, um Fehler zu korrigieren. Angreifer können auf betroffenen Servern im Speicher vorgehaltene Informationen auslesen. Der Sicherheitsforscher Bruce Schneier nennt die Lücke „katastrophal„: „Auf einer Skala von 1 bis 10 ist das eine 11.“
Schneier schätzt, dass eine halbe Million Websites anfällig ist. Viele haben inzwischen Patches eingespielt, doch nun müssen alle möglicherweise ausspionierten Passwörter und Zertifikate gewechselt werden.
Noch schwieriger dürfte die Behebung bei Hardwareprodukten sein. Das hat für Juniper Sprecher Corey Olfert gegenüber dem Wall Street Journal bestätigt: „Es sieht nicht nach einer Sache aus, wo man einfach einen Schalter umlegt. Ich weiß nicht, wie schnell diese Lücken behoben werden können.“
[mit Material von Steven Musil, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
