Bug in OpenSSL eröffnet Einblick in Speicher

09.04.2014

Ein schwerwiegender Fehler in der OpenSSL-Bibliothek erlaubt Angreifern Einblick in den Speicher des vermeintlich geschützten Systems.

Neel Mehta der Security-Abteilung von Google hat einen Fehler in der OpenSSL-Bibliothek gemeldet, der es erlaubt, den Hauptspeicher eines Systems auszulesen, das eigentlich durch SSL-Verschlüsselung geschützt werden sollte. Der Fehler, der unter dem Code CVE-2014-0160 geführt wird, steckt in der Heartbeat-Erweiterung für TLS/DTLS, über die OpenSSL eine Keep-Alive-Funktion realisiert.

Unabhängig von Neel Mehta haben die Security-Experten von Codenomicon den Fehler entdeckt, den sie unter dem Namen "Heartbleed" ausführlich dokumentiert haben. In Tests konnten sie mithilfe des OpenSSL-Bugs die geheimen Schlüssel von X.509-Zertifikaten, Benutzernamen und Passwörter sowie E-Mails und andere Dokumente auslesen. Laut Codenomicon verhält es sich mit den verfügbaren Versionen von OpenSSL folgendermaßen:

  • OpenSSL 1.0.1 bis 1.0.1f sind von dem Bug betroffen
  • OpenSSL 1.0.1g sowie 1.0.0 und 0.9.8 sind davon nicht betroffen

Bei Betriebssystemen bedeutet das, dass Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Red Hat Enterprise Linux 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 10.0, NetBSD 5.0.2 und Open Suse 12.2 gefährdet sind. Für die meisten dieser Distributionen gibt es bereits Updates des OpenSSL-Pakets, die dringend empfohlen werden.

Da der Bug schon eine lange Zeit im OpenSSL-Code steckt, ist es möglich, dass Angreifer in der Vergangenheit unbemerkt davon Gebrauch gemacht haben. Von Exploits in freier Wildbahn ist allerdings bisher nichts bekannt geworden.

Um eventuell betroffene Server ruhigen Gewissens mit den alten Zertifikaten nutzen zu können, wird die Verwendung von Perfect Forward Secrecy in SSL empfohlen. 

Ob der eigene Server verwundbar ist, lässt sich unter http://filippo.io/Heartbleed/ testen.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

LibreSSL neu, Bug in OpenSSL

Eine neue Version der alternativen SSL/TLS-Implementation ist erschienen. Gleichzeitig wurde ein neuer Bug in OpenSSL gefunden. 

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite