Abo
  • Services:
Anzeige
Änderungen am Heartbeat-Code
Änderungen am Heartbeat-Code (Bild: Screenshot Golem.de)

OpenSSL-Lücke: Programmierer bezeichnet Heartbleed als Versehen

Der deutsche Programmierer Robin Seggelmann, auf den die Lücke in OpenSSL zurückzuführen ist, hat sich erstmals zu dem Fehler geäußert. Der Bug soll aus Versehen durch eine nicht in der Länge überprüfte Variable entstanden sein. Auch bei einem Review des Quelltextes fiel das nicht auf.

Anzeige

Robin Seggelmann, der zuerst die Heartbeat-Funktion in OpenSSL eingebaut hatte, die jetzt als gravierende Sicherheitslücke bekannt ist, hat sich erstmals zur Entstehung des Fehlers geäußert. In einem Gespräch mit der australischen Zeitung Sydney Morning Herald hat er den Bug als Versehen bezeichnet.

Seggelmann arbeitete Anfang 2012 an OpenSSL, bereinigte einige andere Fehler, und baute die neue Funktion Heartbeat ein. Mit diesem Begriff werden allgemein Anfragen von Protokollen bezeichnet, die nötig sind, um Timeouts zu verhindern. Der Heartbeat hält die Verbindung dabei aufrecht.

Dabei, so Seggelmann, habe er aber eine Variable eingeführt, deren Länge das Programm nicht überprüft habe. Dieser Fehler ließ sich dann für die jüngst bekanntgewordene Sicherheitslücke ausnutzen. Der Bug wurde auch bei einem Review durch einen anderen Programmierer nicht gefunden, und so wurde er auch in die veröffentlichte Version 1.0.1 von OpenSSL aus dem März 2012 übernommen. Zwei Jahre blieb der Fehler danach unbemerkt.

Der Entwickler beteuert in dem Interview, dass er bis zur Entdeckung der Lücke keine Kenntnis von ihrer Existenz gehabt habe. Auch seine vor allem in Foren oft unterstellte Verbindung zu Geheimdiensten, die SSL-Verbindungen durch den Fehler oder Hintertüren aushebeln könnten, weist Seggelmann von sich. Er hatte und habe keine Verbindung zu solchen Behörden, so der Programmierer.

Um solche in ihrer Auswirkung dramatischen Fehler in Zukunft zu vermeiden, sollten Seggelmann zufolge mehr Entwickler an solchen sicherheitsrelevanten Programmteilen mitarbeiten und gegenseitig den Code prüfen. Millionen Anwender nutzten Programme wie OpenSSL, aber nur sehr wenige trügen zur Weiterentwicklung bei.


eye home zur Startseite
Thaodan 13. Apr 2014

Ach das geht vergleichsweise schnell, das Problem das einspielen in die ganzen Webserver.

c0t0d0s0 11. Apr 2014

Ich finde den Unix-Ansatz sinnvoller als die eierlegende Wollmilchsau, die 1000...

FrankKipf 11. Apr 2014

Das perverse an der Geschichte ist doch, dass der Code von zig Firmen in zig Produkten...

Youssarian 11. Apr 2014

Doch, das finde ich in Ordnung. All dies hat hier nicht stattgefunden. Vielmehr hat...

DerVorhangZuUnd... 11. Apr 2014

Sehr richtig erkannt! Herr Guillotine wollte damals im 17. Jahrhundert ja auch am...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Vaihingen
  2. AVL Deutschland GmbH, München
  3. medavis GmbH, Karlsruhe
  4. TUI Deutschland GmbH, Hannover


Anzeige
Spiele-Angebote
  1. 59,99€
  2. 54,85€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Handmade

    Amazon verlangt von Verkäufern mehr als Dawanda

  2. Dice

    Kampagne von Battlefield 1 spielt an vielen Fronten

  3. NBase-T alias 802.3bz

    2.5GbE und 5GbE sind offizieller IEEE-Standard

  4. Samsung-Rückrufaktion

    Bereits 60 Prozent der Note-7-Geräte in Europa ausgetauscht

  5. Mavic Pro

    DJI stellt klappbaren 4K-Quadcopter für 1.200 US-Dollar vor

  6. Streamripper

    Musikindustrie will Youtube-mp3.org zerstören

  7. Jupitermond

    Nasa beobachtet Wasserdampf auf Europa

  8. Regierung

    Wie die Telekom bei Merkel ihre Interessen durchsetzt

  9. Embedded Radeon E9550

    AMD packt Polaris in 4K-Spieleautomaten

  10. Pay-TV

    Ultra-HD-Programm von Sky startet im Oktober



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Osmo Mobile im Test: Hollywood fürs Smartphone
Osmo Mobile im Test
Hollywood fürs Smartphone
  1. Osmo Mobile DJI präsentiert Gimbal fürs Smartphone
  2. DJI Osmo+ Drohnenkamera am Selfie-Stick
  3. DJI Flugverbotszonen in Drohnensoftware lassen sich ausschalten

Neuer Porträtmodus: Das iPhone 7 Plus entdeckt die Hintergrundunschärfe
Neuer Porträtmodus
Das iPhone 7 Plus entdeckt die Hintergrundunschärfe
  1. Neues iPhone US-Late-Night-Komiker witzeln über Apple
  2. IOS 10.0.2 Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen
  3. Jailbreak 19-Jähriger will iPhone-7-Exploit für sich behalten

Fifa 17 im Test: Mehr Drama auf dem Fußballplatz
Fifa 17 im Test
Mehr Drama auf dem Fußballplatz
  1. Fifa 17 Was macht Dragon Age in meiner Fifa-Demo?
  2. Electronic Arts Millionenliga mit dem Ultimate Team
  3. Fifa 17 Sonderpartnerschaft mit den Bayern

  1. Re: Fand solche Dienste eh etwas sinnlos

    Hello_World | 07:05

  2. Re: eigentlich offensichtlich

    CHU | 07:00

  3. Läuft da auch ...

    CHU | 06:58

  4. Re: warum Urheberrecht-Verletzung?

    ElTentakel | 06:51

  5. Re: *psst*

    Hello_World | 06:32


  1. 06:36

  2. 20:57

  3. 18:35

  4. 18:03

  5. 17:50

  6. 17:41

  7. 15:51

  8. 15:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel