Abo
  • Services:
Anzeige
Änderungen am Heartbeat-Code
Änderungen am Heartbeat-Code (Bild: Screenshot Golem.de)

OpenSSL-Lücke: Programmierer bezeichnet Heartbleed als Versehen

Der deutsche Programmierer Robin Seggelmann, auf den die Lücke in OpenSSL zurückzuführen ist, hat sich erstmals zu dem Fehler geäußert. Der Bug soll aus Versehen durch eine nicht in der Länge überprüfte Variable entstanden sein. Auch bei einem Review des Quelltextes fiel das nicht auf.

Anzeige

Robin Seggelmann, der zuerst die Heartbeat-Funktion in OpenSSL eingebaut hatte, die jetzt als gravierende Sicherheitslücke bekannt ist, hat sich erstmals zur Entstehung des Fehlers geäußert. In einem Gespräch mit der australischen Zeitung Sydney Morning Herald hat er den Bug als Versehen bezeichnet.

Seggelmann arbeitete Anfang 2012 an OpenSSL, bereinigte einige andere Fehler, und baute die neue Funktion Heartbeat ein. Mit diesem Begriff werden allgemein Anfragen von Protokollen bezeichnet, die nötig sind, um Timeouts zu verhindern. Der Heartbeat hält die Verbindung dabei aufrecht.

Dabei, so Seggelmann, habe er aber eine Variable eingeführt, deren Länge das Programm nicht überprüft habe. Dieser Fehler ließ sich dann für die jüngst bekanntgewordene Sicherheitslücke ausnutzen. Der Bug wurde auch bei einem Review durch einen anderen Programmierer nicht gefunden, und so wurde er auch in die veröffentlichte Version 1.0.1 von OpenSSL aus dem März 2012 übernommen. Zwei Jahre blieb der Fehler danach unbemerkt.

Der Entwickler beteuert in dem Interview, dass er bis zur Entdeckung der Lücke keine Kenntnis von ihrer Existenz gehabt habe. Auch seine vor allem in Foren oft unterstellte Verbindung zu Geheimdiensten, die SSL-Verbindungen durch den Fehler oder Hintertüren aushebeln könnten, weist Seggelmann von sich. Er hatte und habe keine Verbindung zu solchen Behörden, so der Programmierer.

Um solche in ihrer Auswirkung dramatischen Fehler in Zukunft zu vermeiden, sollten Seggelmann zufolge mehr Entwickler an solchen sicherheitsrelevanten Programmteilen mitarbeiten und gegenseitig den Code prüfen. Millionen Anwender nutzten Programme wie OpenSSL, aber nur sehr wenige trügen zur Weiterentwicklung bei.


eye home zur Startseite
Thaodan 13. Apr 2014

Ach das geht vergleichsweise schnell, das Problem das einspielen in die ganzen Webserver.

c0t0d0s0 11. Apr 2014

Ich finde den Unix-Ansatz sinnvoller als die eierlegende Wollmilchsau, die 1000...

FrankKipf 11. Apr 2014

Das perverse an der Geschichte ist doch, dass der Code von zig Firmen in zig Produkten...

Youssarian 11. Apr 2014

Doch, das finde ich in Ordnung. All dies hat hier nicht stattgefunden. Vielmehr hat...

DerVorhangZuUnd... 11. Apr 2014

Sehr richtig erkannt! Herr Guillotine wollte damals im 17. Jahrhundert ja auch am...



Anzeige

Stellenmarkt
  1. LEW Verteilnetz GmbH, Augsburg
  2. Medion AG, Essen
  3. Schweickert Netzwerktechnik GmbH, Walldorf
  4. operational services GmbH & Co. KG, Braunschweig


Anzeige
Hardware-Angebote
  1. ab 17,99€
  2. 18,99€ statt 39,99€
  3. ab 649,90€

Folgen Sie uns
       


  1. Enigma ICO

    Kryptowährungshacker erbeuten halbe Million US-Dollar

  2. SNES Classic Mini

    Mario, Link und Samus machen den Moonwalk

  3. Bixby

    Samsungs Sprachassistent kommt auf Englisch nach Deutschland

  4. Apache-Lizenz 2.0

    OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

  5. Knights Mill

    Intels Xeon Phi hat 72 Kerne und etwas Netburst

  6. Redstone 3

    Microsoft entfernt Refs-Formatierung von Windows 10 Pro

  7. Unsichere Passwörter

    Angriffe auf Microsoft-Konten um 300 Prozent gestiegen

  8. Polar vs. Fitbit

    Duell der Schlafexperten

  9. HP

    Omen-X-Laptop ist ein 4K-Klotz mit übertakteter GTX 1080

  10. Scorpio Engine

    Microsoft erläutert SoC der Xbox One X



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered im Test: Klick, klick, klick, klick, klick als wär es 1998
Starcraft Remastered im Test
Klick, klick, klick, klick, klick als wär es 1998
  1. Blizzard Der Name Battle.net bleibt
  2. Starcraft Remastered "Mit den Protoss kann man seinen Gegner richtig nerven!"
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Fujitsu Lifebook U937 im Test: 976 Gramm reichen für das fast perfekte Notebook
Fujitsu Lifebook U937 im Test
976 Gramm reichen für das fast perfekte Notebook
  1. DLU Fujitsu entwickelt Deep-Learning-Chips
  2. Celsius-Workstations Fujitsu bringt sichere Notebooks und kabellose Desktops

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

  1. Wie wird "reimplementiert"?

    schumischumi | 15:03

  2. Re: Nachtrag

    M.P. | 15:02

  3. Re: Legal?

    Stoker | 15:00

  4. Re: kann autonome Kampfsysteme auch nicht gutheißen

    Prypjat | 14:59

  5. Re: Schwierigkeit aufgeweicht

    c0Zmo | 14:59


  1. 14:54

  2. 14:42

  3. 14:32

  4. 13:00

  5. 13:00

  6. 12:45

  7. 12:30

  8. 12:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel