Bug in OpenSSL eröffnet Einblick in Speicher

09.04.2014

Ein schwerwiegender Fehler in der OpenSSL-Bibliothek erlaubt Angreifern Einblick in den Speicher des vermeintlich geschützten Systems.

Neel Mehta der Security-Abteilung von Google hat einen Fehler in der OpenSSL-Bibliothek gemeldet, der es erlaubt, den Hauptspeicher eines Systems auszulesen, das eigentlich durch SSL-Verschlüsselung geschützt werden sollte. Der Fehler, der unter dem Code CVE-2014-0160 geführt wird, steckt in der Heartbeat-Erweiterung für TLS/DTLS, über die OpenSSL eine Keep-Alive-Funktion realisiert.

Unabhängig von Neel Mehta haben die Security-Experten von Codenomicon den Fehler entdeckt, den sie unter dem Namen "Heartbleed" ausführlich dokumentiert haben. In Tests konnten sie mithilfe des OpenSSL-Bugs die geheimen Schlüssel von X.509-Zertifikaten, Benutzernamen und Passwörter sowie E-Mails und andere Dokumente auslesen. Laut Codenomicon verhält es sich mit den verfügbaren Versionen von OpenSSL folgendermaßen:

  • OpenSSL 1.0.1 bis 1.0.1f sind von dem Bug betroffen
  • OpenSSL 1.0.1g sowie 1.0.0 und 0.9.8 sind davon nicht betroffen

Bei Betriebssystemen bedeutet das, dass Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Red Hat Enterprise Linux 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 10.0, NetBSD 5.0.2 und Open Suse 12.2 gefährdet sind. Für die meisten dieser Distributionen gibt es bereits Updates des OpenSSL-Pakets, die dringend empfohlen werden.

Da der Bug schon eine lange Zeit im OpenSSL-Code steckt, ist es möglich, dass Angreifer in der Vergangenheit unbemerkt davon Gebrauch gemacht haben. Von Exploits in freier Wildbahn ist allerdings bisher nichts bekannt geworden.

Um eventuell betroffene Server ruhigen Gewissens mit den alten Zertifikaten nutzen zu können, wird die Verwendung von Perfect Forward Secrecy in SSL empfohlen. 

Ob der eigene Server verwundbar ist, lässt sich unter http://filippo.io/Heartbleed/ testen.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Neue und alte Bugs in OpenSSL

Neue Releases diverser OpenSSL-Versionen beheben kleine und große Fehler.

Artikel der Woche

Skalierbares Monitoring mit Prometheus

Klassischen Monitoring-Lösungen geht die Puste aus, wenn sie mit den Anforderungen moderner, skalierbarer Setups konfrontiert sind. Prometheus tritt an, in solchen Umgebungen Monitoring, Alerting und Trending zu verwirklichen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2017

Microsite