Schwere Sicherheitslücke in OpenSSL entdeckt

Das OpenSSL-Projekt hat Aktualisierungen für seine gleichnamige Verschlüsselungssoftware für kommenden Donnerstag angekündigt. Demnach beheben die Versionen 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf mehrere Schwachstellen. Mindestens eine davon wird mit der höchsten Bewertung für mögliche Risiken bei Fehlern eingestuft.

Auf Twitter spekulieren bereits einige Sicherheitsforscher über die Schwere des Fehlers. Sie hoffen – und mit ihnen wahrscheinlich alle Administratoren von Servern, die OpenSSL nutzen – , dass die entdeckte Lücke nicht so schwerwiegend ist wie die vor etwa einem Jahr entdeckte Schwachstelle, die unter dem Namen Heartbleed auch einer größeren Öffentlichkeit bekannt geworden ist. Offiziell trug die Sicherheitslücke die Kennung CVE-2014-0160.

Heartbleed wurde von der Sicherheitsfirma Codenomicon und Google-Forscher Neel Mehta entdeckt. Durch die Schwachstelle konnten Angreifer auf den flüchtigen Speicher eines Webservers zugreifen, wodurch beispielsweise das Auslesen von Nutzernamen und Passwörter von Usern möglich war. Millionen von Servern waren von dem Fehler betroffen. Selbst zwei Monate nach Bereitstellung von fehlerberinigten OpenSSL-Varianten waren noch etwa 300.000 Server von der Schwachstelle betroffen.

Hierzulande mussten beispielsweise die großen E-Mail-Provider ihre Server aktualisieren. Innerhalb weniger Tage gelang dies, sodass die Gefahr durch Heartbleed relativ schnell gebannt war. Nutzern wurde trotzdem empfohlen, ihre Passwörter für Server betroffener Dienste zu wechseln.

In Kritik geriet der amerikansiche Geheimdienst NSA, dem vorgeworfen wurde, die Heartbleed-Lücke für Spionagezwecke ausgenutzt zu haben. Ein hochrangiger Beamter des Weißen Hauses dementierte dies in einem Blogeintrag, räumte aber das Zurückhalten einzelner Schwachstellen ein.

Um derartige schwere Fehler zukünftig zu vermeiden, hat das OpenSSL-Projekt beschlossen, zukünftigen Programm-Code von unabhängigen Spezialisten prüfen zu lassen. Vor wenigen Tagen wurde bekannt, dass das sogenannte „Code Audit“ durch die angesehene Sicherheitsfirma NCC Group durchgeführt wird.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de