Heartbleed: Auch Netzwerk-Ausstattung von Cisco und Juniper betroffen

Die Netzwerkausstatter Cisco und Juniper warnen, dass die Mehrzahl ihrer für eine Verbindung zum Web ausgelegten Geräte die schwere Sicherheitsanfälligkeit Heartbleed aufweist. Die Schwachstelle steckt in der Verschlüsselungslösung OpenSSL. Auf davon betroffenen Servern gespeicherte Passwörter, Schlüssel und Zertifikate müssen als möglicherweise kompromittiert gelten.

In einem Hinweis von Cisco sind elf Produkte und zwei Dienste als definitiv über diese Schwachstelle angreifbar ausgewiesen. 60 weitere gelten als „betroffen“; die Nachforschungen halten an. Überwiegend handelt es sich um Kollaborationswerkzeuge wie IP-Telefone und Kommunikationsserver.

Die beiden betroffenen Dienste sind Cisco Registered Envelope Service (CRES) und Webex Messenger Service. Beide wurden inzwischen gepatcht, Nutzer sollten also jetzt ihre Passwörter ändern.

Juniper hat zu Heartbleed mehrere Sicherheitshinweise veröffentlicht. Diverse seiner Produkte sind demnach anfällig, darunter alle mit JunOS 13.3R1 oder dem Client Odyssey 5.6r5 oder später.

Der für die Lücke verantwortliche Code war vor über zwei Jahren in SSL integriert worden – offenbar, um Fehler zu korrigieren. Angreifer können auf betroffenen Servern im Speicher vorgehaltene Informationen auslesen. Der Sicherheitsforscher Bruce Schneier nennt die Lücke „katastrophal„: „Auf einer Skala von 1 bis 10 ist das eine 11.“

Schneier schätzt, dass eine halbe Million Websites anfällig ist. Viele haben inzwischen Patches eingespielt, doch nun müssen alle möglicherweise ausspionierten Passwörter und Zertifikate gewechselt werden.

Noch schwieriger dürfte die Behebung bei Hardwareprodukten sein. Das hat für Juniper Sprecher Corey Olfert gegenüber dem Wall Street Journal bestätigt: „Es sieht nicht nach einer Sache aus, wo man einfach einen Schalter umlegt. Ich weiß nicht, wie schnell diese Lücken behoben werden können.“

[mit Material von Steven Musil, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

22 Stunden ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

1 Tag ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

2 Tagen ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

2 Tagen ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

2 Tagen ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

3 Tagen ago