Schwere Sicherheitslücke in OpenSSL entdeckt

Das OpenSSL-Projekt hat Aktualisierungen für seine gleichnamige Verschlüsselungssoftware für kommenden Donnerstag angekündigt. Demnach beheben die Versionen 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf mehrere Schwachstellen. Mindestens eine davon wird mit der höchsten Bewertung für mögliche Risiken bei Fehlern eingestuft.

Auf Twitter spekulieren bereits einige Sicherheitsforscher über die Schwere des Fehlers. Sie hoffen – und mit ihnen wahrscheinlich alle Administratoren von Servern, die OpenSSL nutzen – , dass die entdeckte Lücke nicht so schwerwiegend ist wie die vor etwa einem Jahr entdeckte Schwachstelle, die unter dem Namen Heartbleed auch einer größeren Öffentlichkeit bekannt geworden ist. Offiziell trug die Sicherheitslücke die Kennung CVE-2014-0160.

Heartbleed wurde von der Sicherheitsfirma Codenomicon und Google-Forscher Neel Mehta entdeckt. Durch die Schwachstelle konnten Angreifer auf den flüchtigen Speicher eines Webservers zugreifen, wodurch beispielsweise das Auslesen von Nutzernamen und Passwörter von Usern möglich war. Millionen von Servern waren von dem Fehler betroffen. Selbst zwei Monate nach Bereitstellung von fehlerberinigten OpenSSL-Varianten waren noch etwa 300.000 Server von der Schwachstelle betroffen.

Hierzulande mussten beispielsweise die großen E-Mail-Provider ihre Server aktualisieren. Innerhalb weniger Tage gelang dies, sodass die Gefahr durch Heartbleed relativ schnell gebannt war. Nutzern wurde trotzdem empfohlen, ihre Passwörter für Server betroffener Dienste zu wechseln.

In Kritik geriet der amerikansiche Geheimdienst NSA, dem vorgeworfen wurde, die Heartbleed-Lücke für Spionagezwecke ausgenutzt zu haben. Ein hochrangiger Beamter des Weißen Hauses dementierte dies in einem Blogeintrag, räumte aber das Zurückhalten einzelner Schwachstellen ein.

Um derartige schwere Fehler zukünftig zu vermeiden, hat das OpenSSL-Projekt beschlossen, zukünftigen Programm-Code von unabhängigen Spezialisten prüfen zu lassen. Vor wenigen Tagen wurde bekannt, dass das sogenannte „Code Audit“ durch die angesehene Sicherheitsfirma NCC Group durchgeführt wird.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

10 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

14 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

15 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

15 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

16 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

18 Stunden ago