Anzeige
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz.
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz. (Bild: Heartbleed.com/Screenshot: Golem.de)

Sicherheitslücke: Keys auslesen mit OpenSSL

Der Heartbleed-Bug bedroht die Verschlüsselung im Netz.
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz. (Bild: Heartbleed.com/Screenshot: Golem.de)

Ein Fehler in OpenSSL lässt das Auslesen von Arbeitsspeicher zu. Damit können Angreifer private Keys von Servern erhalten. Eine sichere Verschlüsselung ist nicht mehr gewährleistet. Der Bug betrifft sehr viele Web- und Mailserver im Internet.

Anzeige

In OpenSSL wurde eine Sicherheitslücke entdeckt, welche die Sicherheit von TLS-Verbindungen vollständig untergräbt und einen großen Teil der im Internet verfügbaren Dienste betreffen dürfte. Ein Angreifer kann mit einem gezielt manipulierten Datenpaket Speicher auslesen. Laut Aussagen der Entdecker der Sicherheitslücke sei es ihnen in Tests damit gelungen, den privaten Schlüssel eines TLS-Servers zu extrahieren. Die Entdecker der Sicherheitslücke nennen diese Heartbleed Bug, sie hat die ID CVE-2014-0160 erhalten.

Die Sicherheitslücke steckt im Code für die sogenannte Heartbeat-Erweiterung von TLS. Sie wurde vor zwei Jahren in OpenSSL 1.0.1 eingeführt und soll langlebige, TLS-gesicherte Verbindungen erleichtern. Genutzt wird sie nur selten, aber in der Standardeinstellung von aktuellen OpenSSL-Versionen ist die Erweiterung aktiv. Alle Versionen von 1.0.1 bis einschließlich 1.0.1f sind betroffen. Eine korrigierte Version 1.0.1g wurde heute veröffentlicht und eine entsprechende Warnung vom OpenSSL-Team herausgegeben. Daneben behebt OpenSSL 1.0.1g noch zwei weitere, weniger gravierende Sicherheitsprobleme.

Entdeckt wurde die Sicherheitslücke unabhängig voneinander von einem Team der finnischen Sicherheitsfirma Codenomicon und dem Sicherheitsteam von Google. Die Entdecker befürchten allerdings, dass weitere Personen die Sicherheitslücke schon früher entdeckt haben könnten und sie bereits ausnutzen. Auf Serverseite gibt es keine Möglichkeit, eine Attacke zu erkennen, die in der Vergangenheit stattgefunden hat.

Alle Administratoren von Servern, die OpenSSL 1.0.1 einsetzen, sollten umgehend OpenSSL aktualisieren und alle Services, die TLS-Verbindungen ermöglichen, neu starten. Auch Anwendungssoftware nutzt häufig OpenSSL, Nutzer sollten daher in den nächsten Tagen nach Updates von Mailprogrammen, Browsern und anderen Netzapplikationen mit TLS-Unterstützung suchen. Unter Linux und anderen Unix-Systemen sollte die systemweite OpenSSL-Bibliothek aktualisiert werden. Glück gehabt haben Anwender älterer Distributionen, die noch auf OpenSSL 1.0.0 oder eine der 0.9-Versionen setzen, denn diese sind von dem Problem nicht betroffen.

Für Serveradministratoren stellt sich die Frage, ob sie nicht nur ihre Systeme updaten müssen, sondern auch davon ausgehen sollten, dass die privaten Keys von TLS-Diensten möglicherweise bereits gestohlen wurden. Da sich der Angriff nicht feststellen lässt, ist es möglicherweise ratsam, vorsorglich alle TLS-Zertifikate auszutauschen und sie durch neue Zertifikate mit neuen privaten Schlüsseln zu ersetzen.

Offenbar wurden einige Betreiber von Internetservices vorab von dem Problem informiert. Die Firma Cloudflare, ein großer Anbieter von Content Delivery Networks, schreibt in ihrem Blog, dass bereits vergangene Woche ein Update auf den Servern eingespielt wurde. Das wird vermutlich noch zu Diskussionen über den Veröffentlichungsprozess der Sicherheitslücke führen. Auf Twitter hat der Entwickler von GrSecurity, Brad Spengler, dieses Vorgehen kritisiert.

OpenSSL wird von einer Vielzahl von Server- und Clientsoftware verwendet. Die Mehrzahl der Webserver, die entweder die Software Apache oder nginx einsetzen, nutzt für HTTPS-Verbindungen OpenSSL. Auch die meisten Mailserver wie Postfix oder Sendmail nutzen OpenSSL. Laut Aussage von Ivan Ristic, der den bekannten SSL-Test der Firma Qualys betreibt, unterstützt etwa ein Drittel der HTTPS-Server im Netz TLS 1.2. Die meisten davon sind vermutlich von dem Problem betroffen.

Viele Administratoren haben in den vergangenen Monaten ihre Server auf OpenSSL 1.0.1 aktualisiert, weil es die erste Version von OpenSSL ist, welche die neueren Standards TLS 1.1 und 1.2 unterstützt. Zuletzt geriet die Sicherheit von TLS immer mehr unter Beschuss und nach verschiedenen Sicherheitsproblemen im Protokoll wie der BEAST-Attacke, der Lucky-Thirteen-Attacke und Angriffen auf das RC4-Verfahren galt eigentlich nur noch TLS 1.2 mit AES-GCM als wirklich sicher. Die Ironie der Geschichte ist also, dass vor allem die Administratoren, die sich um die Beseitigung von weit weniger kritischen Sicherheitsproblemen in TLS bemüht haben, jetzt von diesem gravierenden Bug betroffen sind.

Nachtrag vom 8. April 2014, 9:55 Uhr

Inzwischen gibt es verschiedene Onlinetests, mit denen sich die eigenen Server auf die Heartbleed-Lücke testen lassen. Ein Test für HTTPS-Server findet sich beispielsweise hier. Für die meisten wichtigen Linux-Distributionen wie Ubuntu, Debian und Fedora stehen inzwischen aktualisierte Pakete zur Verfügung, die alle Nutzer umgehend einspielen sollten. Das Apple-Betriebssystem Mac OS X Mavericks ist nicht verwundbar, da dort eine ältere Version von OpenSSL genutzt wird.


eye home zur Startseite
EynLinuxMarc 16. Dez 2014

Habt ihr nix anders zu tun als in jeder ecke NSA zu sehen. ????? Wird das nicht irgent...

frostbitten king 10. Apr 2014

Das gluabe ich nicht :). Allein das, ok, welche Befehle waren das noch gleich, und welche...

adminblogger 09. Apr 2014

Google nutzt unterschiedliche Rechenzentren und ja, je nachdem wo man gerade landet, auch...

Dopeusk18 09. Apr 2014

if (heartbleed == TRUE){ echo 'Alles Okay' } :D:D

scroogie 09. Apr 2014

Ja, ist es, wenn es gegen die entsprechende OpenSSL Version gelinkt ist. Sowohl Server...

Kommentieren



Anzeige

  1. First Level Support / User Help Desk (m/w)
    BAM Deutschland AG, Stuttgart
  2. Software Ingenieur (m/w)
    über JOB AG Technology Service GmbH, Stuttgart
  3. IT Specialist (Service Desk & IT Operations) (m/w)
    TUI Cruises GmbH, Hamburg
  4. IT Application Consultant (m/w) SAP FI/CO
    Viega GmbH & Co. KG, Attendorn

Detailsuche



Anzeige
Spiele-Angebote
  1. GRATIS: Battlefield 4: Final Stand-DLC und Medal of Honor Pacific Assault
  2. NEU: Battlefield 4 - [PC]
    9,98€ USK 18
  3. VORBESTELLBAR: No Man's Sky - Limited Edition - [PlayStation 4]
    79,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Hyperloop

    HTT will seine Rohrpostzüge aus Marvel-Material bauen

  2. Smartwatches

    Pebble 2 und Pebble Time 2 mit Pulsmesser

  3. Kickstarter

    Pebble Core als GPS-Anhänger für Hacker und Sportler

  4. Virtual Reality

    Facebook kauft Two Big Ears für 360-Grad-Sound

  5. Wirtschaftsminister Olaf Lies

    Beirat der Bundesnetzagentur gegen exklusives Vectoring

  6. Smartphone-Betriebssystem

    Microsoft verliert stark gegenüber Google und Apple

  7. Onlinehandel

    Amazon startet eigenen Paketdienst in Berlin

  8. Pastejacking im Browser

    Codeausführung per Copy and Paste

  9. Manuela Schwesig

    Familienministerin will den Jugendschutz im Netz neu regeln

  10. Intels Compute Stick im Test

    Der mit dem Lüfter streamt (2)



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Traceroute: Wann ist ein Nerd ein Nerd?
Traceroute
Wann ist ein Nerd ein Nerd?

Formel E: Monaco-Feeling beim E-Prix in Berlin-Mitte
Formel E
Monaco-Feeling beim E-Prix in Berlin-Mitte
  1. Hewlett Packard Enterprise "IT wird beim Autorennen immer wichtiger"
  2. Roborace Roboterrennwagen fahren mit Nvidia-Computer
  3. Elektromobilität BMW und Nissan wollen in die Formel E

Moto G4 Plus im Hands On: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands On
Lenovos sonderbare Entscheidung
  1. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  2. Motorola Aktionspreise für aktuelle Moto-Smartphones

  1. Scramjet?

    duff | 23:11

  2. Re: about:config statt about:preferences

    Pjörn | 23:11

  3. Re: Noch ein weiteres Gerät ...

    Sammie | 23:10

  4. Re: Alles was ich von Gardena hatte

    Snoozel | 23:07

  5. Re: "Vectoring ist Glasfaser"

    Moe479 | 23:05


  1. 19:01

  2. 18:03

  3. 17:17

  4. 17:03

  5. 16:58

  6. 14:57

  7. 14:31

  8. 13:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel