Abo
  • Services:
Anzeige
Änderungen am Heartbeat-Code
Änderungen am Heartbeat-Code (Bild: Screenshot Golem.de)

OpenSSL-Lücke: Programmierer bezeichnet Heartbleed als Versehen

Der deutsche Programmierer Robin Seggelmann, auf den die Lücke in OpenSSL zurückzuführen ist, hat sich erstmals zu dem Fehler geäußert. Der Bug soll aus Versehen durch eine nicht in der Länge überprüfte Variable entstanden sein. Auch bei einem Review des Quelltextes fiel das nicht auf.

Anzeige

Robin Seggelmann, der zuerst die Heartbeat-Funktion in OpenSSL eingebaut hatte, die jetzt als gravierende Sicherheitslücke bekannt ist, hat sich erstmals zur Entstehung des Fehlers geäußert. In einem Gespräch mit der australischen Zeitung Sydney Morning Herald hat er den Bug als Versehen bezeichnet.

Seggelmann arbeitete Anfang 2012 an OpenSSL, bereinigte einige andere Fehler, und baute die neue Funktion Heartbeat ein. Mit diesem Begriff werden allgemein Anfragen von Protokollen bezeichnet, die nötig sind, um Timeouts zu verhindern. Der Heartbeat hält die Verbindung dabei aufrecht.

Dabei, so Seggelmann, habe er aber eine Variable eingeführt, deren Länge das Programm nicht überprüft habe. Dieser Fehler ließ sich dann für die jüngst bekanntgewordene Sicherheitslücke ausnutzen. Der Bug wurde auch bei einem Review durch einen anderen Programmierer nicht gefunden, und so wurde er auch in die veröffentlichte Version 1.0.1 von OpenSSL aus dem März 2012 übernommen. Zwei Jahre blieb der Fehler danach unbemerkt.

Der Entwickler beteuert in dem Interview, dass er bis zur Entdeckung der Lücke keine Kenntnis von ihrer Existenz gehabt habe. Auch seine vor allem in Foren oft unterstellte Verbindung zu Geheimdiensten, die SSL-Verbindungen durch den Fehler oder Hintertüren aushebeln könnten, weist Seggelmann von sich. Er hatte und habe keine Verbindung zu solchen Behörden, so der Programmierer.

Um solche in ihrer Auswirkung dramatischen Fehler in Zukunft zu vermeiden, sollten Seggelmann zufolge mehr Entwickler an solchen sicherheitsrelevanten Programmteilen mitarbeiten und gegenseitig den Code prüfen. Millionen Anwender nutzten Programme wie OpenSSL, aber nur sehr wenige trügen zur Weiterentwicklung bei.


eye home zur Startseite
Thaodan 13. Apr 2014

Ach das geht vergleichsweise schnell, das Problem das einspielen in die ganzen Webserver.

c0t0d0s0 11. Apr 2014

Ich finde den Unix-Ansatz sinnvoller als die eierlegende Wollmilchsau, die 1000...

FrankKipf 11. Apr 2014

Das perverse an der Geschichte ist doch, dass der Code von zig Firmen in zig Produkten...

Youssarian 11. Apr 2014

Doch, das finde ich in Ordnung. All dies hat hier nicht stattgefunden. Vielmehr hat...

DerVorhangZuUnd... 11. Apr 2014

Sehr richtig erkannt! Herr Guillotine wollte damals im 17. Jahrhundert ja auch am...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. T-Systems International GmbH, Berlin, Bonn
  3. Vossloh Locomotives GmbH, Kiel
  4. Kommunale Datenverarbeitung Oldenburg (KDO), Oldenburg


Anzeige
Top-Angebote
  1. 198,00€
  2. 189,00€ + 4,99€ Versand (Vergleichspreis 224€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Die Woche im Video

    B/ow the Wh:st/e!

  2. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  3. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  4. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  5. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  6. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  7. Anonymität

    Protonmail ist als Hidden-Service verfügbar

  8. Sicherheitsbehörde

    Zitis soll von München aus Whatsapp knacken

  9. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte

  10. Linux

    Kernel-Maintainer brauchen ein Manifest zum Arbeiten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Sich nicht von der Angst anstecken lassen!

    sundilsan | 09:36

  2. Whatsapp "cracken"

    mrmoralhazard | 09:34

  3. Re: Die xBox ist fünstiger und schöner

    renegade334 | 09:31

  4. USB-Soundkarte kostet 2 Euro

    maze_1980 | 09:29

  5. Re: Vorprogrammierter Ladenhüter

    NMN | 09:29


  1. 09:02

  2. 19:03

  3. 18:45

  4. 18:27

  5. 18:12

  6. 17:57

  7. 17:41

  8. 17:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel