Abo
  • Services:
Anzeige
OpenSSL: Wichtige Fragen und Antworten zu Heartbleed
(Bild: Screenshot Golem.de)

OpenSSL: Wichtige Fragen und Antworten zu Heartbleed

OpenSSL: Wichtige Fragen und Antworten zu Heartbleed
(Bild: Screenshot Golem.de)

Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.

Der Heartbleed-Bug ist eine Sicherheitslücke mit kaum zu überschauenden Auswirkungen. Wir haben versucht, einige der wichtigsten Fragen zu beantworten.

Anzeige

Welche OpenSSL-Versionen sind betroffen?

Der Bug befindet sich in OpenSSL im Code für die Heartbeat-Erweiterung von TLS. Dieser wurde mit der Version 1.0.1 eingeführt, welche am 14. März 2012 veröffentlicht wurde. Der Bug bestand bis zur Version 1.0.1f. Auch Beta-Versionen von OpenSSL 1.0.1 sind betroffen, die Beta 1 wurde am 3. Januar 2012 veröffentlicht. In das Code-Repository von OpenSSL wurde die Heartbeat-Erweiterung am 1. Januar 2012 eingepflegt.

Jedoch kann man OpenSSL auch ohne Heartbeat-Support kompilieren. Es ist also selbst bei einer verwundbaren Version nicht gesichert, ob sie von Heartbleed betroffen ist.

Sind Server und Clients betroffen?

Ja, allerdings in unterschiedlichem Ausmaß. Ein Angriff auf einen Server ist trivial und lässt sich durch einen simplen Verbindungsaufbau mit Hilfe eines manipulierten Datenpakets durchführen. Bei einem Client muss ein Angreifer entweder eine Man-in-the-Middle-Attacke durchführen oder das Opfer dazu bringen, sich mit einem manipulierten Server zu verbinden.

Welche Programme benutzen OpenSSL?

Extrem viele. Auf Serverseite ist OpenSSL in der freien Softwarewelt quasi Standard. Die Webserver Apache und nginx, gängige Mailserver wie Postfix oder Sendmail, die meisten FTP-Server, Jabber-Server und viele mehr verwenden die Kryptobibliothek.

Auf Clientseite sind es etwas weniger. Die gängigen Browser benutzen überwiegend andere Bibliotheken. Firefox und Chrome nutzen für SSL-Verbindungen NSS, der Internet Explorer setzt auf das von Windows mitgelieferte SChannel. Gleiches gilt für die viel verwendeten Mailprogramme Thunderbird und Outlook Express. Dennoch gibt es unzählige andere Clientprogramme, die OpenSSL einsetzen, angefangen von trivialen Tools wie Wget oder Curl bis hin zu manchen Browsern und Mailprogrammen.

Die Lizenz von OpenSSL ist relativ liberal. Sie erlaubt die Verwendung des Codes auch in kommerziellen, nicht quelloffenen Programmen. Insofern ist kaum umfassend überprüfbar, wer alles OpenSSL-Code in seine Programme einbaut.

Ist SSH betroffen?

Nein. OpenSSH nutzt zwar die OpenSSL-Bibliothek für die Nutzung von kryptographischen Algorithmen, allerdings ist die Heartbeat-Erweiterung eine reine TLS-Angelegenheit. Programme, die zwar vom Kryptographiecode von OpenSSL Gebrauch machen, aber damit andere Protokolle wie SSH realisieren, sind somit nicht betroffen.

Was gilt jeweils für Windows, Linux, Mac OS X und andere Betriebssysteme?

Windows selbst besitzt eine eigene SSL-Bibliothek namens SChannel, die nichts mit OpenSSL zu tun hat. Mac-OS-X-Nutzer haben ebenfalls Glück: Apple nutzt eine ältere Version von OpenSSL (0.9.8), die nicht von Heartbleed betroffen ist.

Unter nahezu allen Linux-Distributionen gehört OpenSSL zur Standardausstattung, gleiches gilt auch für alle BSD-Systeme. Alle wichtigen Distributionen haben Updates bereitgestellt, die Anwender, falls nicht schon geschehen, umgehend installieren sollten.

Für alle Betriebssysteme gilt unabhängig davon: Es ist immer möglich, dass Programme ihre eigene OpenSSL-Version mitliefern. Auf Webservern betrifft das beispielsweise das SPDY-Modul von Google.

Was ist mit Android?

In der bei Android mitgelieferten OpenSSL-Version wurde Heartbeat am 25. Juni 2012 deaktiviert, also wenige Monate nach der Veröffentlichung des problematischen Codes. Vermutlich sind damit nur wenige Android-Telefone und Versionen betroffen. Die einzige Version von Android, die damit betroffen ist, ist laut Googles Sicherheitsteam die Version 4.1.1.

Unabhängig davon ist es natürlich möglich, dass einzelne Apps OpenSSL nutzen und selbst den verwundbaren Code mitliefern. Das kann nur im Einzelnen für jede App überprüft werden.

Was ist mit iPhones und iPads?

Das mobile System iOS von Apple liefert OpenSSL nicht mit. Trotzdem gilt dasselbe wie bei Android: Einzelne Apps können den Code von OpenSSL nutzen und selbst mitliefern.

Was müssen Server-Administratoren beachten?

Nach einem Update müssen alle Services, die OpenSSL benutzen, neu gestartet werden. Das gilt beispielsweise für Webserver oder Mailserver. Andernfalls haben diese die alte OpenSSL-Version noch im Speicher. Es gibt ein für Administratoren sehr nützliches Skript namens lib_users, welches unter Linux-Systemen herausfindet, welche laufenden Programme Bibliotheken verwenden, die nicht mehr installiert sind.

Was genau kann ein Angreifer mit Heartbleed auslesen und sind wirklich private Keys bedroht?

Heartbleed ermöglicht das Auslesen eines 64 Kilobyte großen Speicherblocks der Applikation, die OpenSSL benutzt. Was sich in diesem Speicher befindet, ist nicht vorhersehbar. Das hängt von vielen Faktoren ab, etwa davon, wie das Betriebssystem Daten im Speicher ablegt und was die Anwendung dort alles in welcher Reihenfolge speichert. Auf Twitter gab es zahlreiche Berichte, wonach bei Versuchen TLS-Sessioncookies und teilweise auch Benutzernamen und Passwörter von anderen Nutzern ausgelesen wurden.

Unklar ist, wie häufig wirklich der Fall auftritt, dass sich dort der private Key eines Servers verbirgt. Auf einer von der Firma Codenomicon aufgesetzten Webseite zum Heartbleed-Bug wird behauptet, dass die Mitarbeiter es schafften, von ihren eigenen Servern private Keys auszulesen. Auf Twitter berichten Nutzer, dass es in Tests gelang, unter FreeBSD und unter Gentoo private Keys von Apache auszulesen - allerdings nur direkt nach dem Neustart des Webservers. Uns ist aktuell nicht bekannt, ob irgendwo private Keys von öffentlich zugänglichen Webseiten veröffentlicht wurden.

Gefährdete Zertifikate und Passwörter 

eye home zur Startseite
mnementh 22. Apr 2014

Hahahahahaha ROFL LOL Schön dass einige noch an den Weihnachtsmann glauben.

mnementh 22. Apr 2014

Es gibt verschiedene CSS-Layouts für Fefes Blog und ist die erste Antwort in seiner FAQ...

GodsBoss 19. Apr 2014

Richtig, nicht umsonst schrieb Richard Stallman seinen Artikel Open Source Misses The...

a user 14. Apr 2014

darauf wird man sich sicher nicht einigen, weild as so falsch ist. ich verstehe nicht...

PeterK 14. Apr 2014

Danke für deinen Beitrag. Ich respektiere deine Meinung. Aber nach meinem aktuellen...



Anzeige

Stellenmarkt
  1. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart
  2. Ostbayerische Technische Hochschule Amberg-Weiden (OTH), Amberg
  3. Daimler AG, Stuttgart-Untertürkheim
  4. Daimler AG, Esslingen


Anzeige
Top-Angebote
  1. 1169,00€
  2. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Erotik-Abo-Falle

    Verdienen Mobilfunkbetreiber an WAP-Billing-Betrug mit?

  2. Final Fantasy 15

    Square Enix will die Story patchen

  3. TU Dresden

    5G-Forschung der Telekom geht in Entertain und Hybrid ein

  4. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  5. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  6. Weltraumroboter

    Ein R2D2 für Satelliten

  7. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  8. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  9. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen

  10. VG Wort Rahmenvertrag

    Unis starten in die Post-Urheberrecht-Ära



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Travelers Box: Münzgeld am Flughafen tauschen
Travelers Box
Münzgeld am Flughafen tauschen
  1. Apple Siri überweist Geld per Paypal mit einem Sprachbefehl
  2. Soziales Netzwerk Paypal-Zahlungen bei Facebook und im Messenger möglich
  3. Zahlungsabwickler Paypal Deutschland bietet kostenlose Rücksendungen an

  1. Re: DSL-Community

    RipClaw | 19:06

  2. Re: Streaming ist Ersatz für TV, nicht für Kino (kwt)

    jacki | 19:05

  3. Re: Digitale Zähler und "Nachtarif" würden das...

    Stefan99 | 19:05

  4. Kurzfassung

    Crass Spektakel | 19:04

  5. Kennt hier irgendwer jemanden der davon leben kann?

    Buddhisto | 19:01


  1. 18:47

  2. 17:47

  3. 17:34

  4. 17:04

  5. 16:33

  6. 16:10

  7. 15:54

  8. 15:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel