Abo
  • Services:

OpenSSL-Lücke: Programmierer bezeichnet Heartbleed als Versehen

Der deutsche Programmierer Robin Seggelmann, auf den die Lücke in OpenSSL zurückzuführen ist, hat sich erstmals zu dem Fehler geäußert. Der Bug soll aus Versehen durch eine nicht in der Länge überprüfte Variable entstanden sein. Auch bei einem Review des Quelltextes fiel das nicht auf.

Artikel veröffentlicht am ,
Änderungen am Heartbeat-Code
Änderungen am Heartbeat-Code (Bild: Screenshot Golem.de)

Robin Seggelmann, der zuerst die Heartbeat-Funktion in OpenSSL eingebaut hatte, die jetzt als gravierende Sicherheitslücke bekannt ist, hat sich erstmals zur Entstehung des Fehlers geäußert. In einem Gespräch mit der australischen Zeitung Sydney Morning Herald hat er den Bug als Versehen bezeichnet.

Stellenmarkt
  1. Deutscher Apotheker Verlag Dr. Roland Schmiedel GmbH & Co., Stuttgart
  2. MCQ TECH GmbH, Blumberg

Seggelmann arbeitete Anfang 2012 an OpenSSL, bereinigte einige andere Fehler, und baute die neue Funktion Heartbeat ein. Mit diesem Begriff werden allgemein Anfragen von Protokollen bezeichnet, die nötig sind, um Timeouts zu verhindern. Der Heartbeat hält die Verbindung dabei aufrecht.

Dabei, so Seggelmann, habe er aber eine Variable eingeführt, deren Länge das Programm nicht überprüft habe. Dieser Fehler ließ sich dann für die jüngst bekanntgewordene Sicherheitslücke ausnutzen. Der Bug wurde auch bei einem Review durch einen anderen Programmierer nicht gefunden, und so wurde er auch in die veröffentlichte Version 1.0.1 von OpenSSL aus dem März 2012 übernommen. Zwei Jahre blieb der Fehler danach unbemerkt.

Der Entwickler beteuert in dem Interview, dass er bis zur Entdeckung der Lücke keine Kenntnis von ihrer Existenz gehabt habe. Auch seine vor allem in Foren oft unterstellte Verbindung zu Geheimdiensten, die SSL-Verbindungen durch den Fehler oder Hintertüren aushebeln könnten, weist Seggelmann von sich. Er hatte und habe keine Verbindung zu solchen Behörden, so der Programmierer.

Um solche in ihrer Auswirkung dramatischen Fehler in Zukunft zu vermeiden, sollten Seggelmann zufolge mehr Entwickler an solchen sicherheitsrelevanten Programmteilen mitarbeiten und gegenseitig den Code prüfen. Millionen Anwender nutzten Programme wie OpenSSL, aber nur sehr wenige trügen zur Weiterentwicklung bei.



Anzeige
Spiele-Angebote
  1. 19,49€
  2. 39,99€ (Release 14.11.)
  3. 4,99€

Thaodan 13. Apr 2014

Ach das geht vergleichsweise schnell, das Problem das einspielen in die ganzen Webserver.

c0t0d0s0 11. Apr 2014

Ich finde den Unix-Ansatz sinnvoller als die eierlegende Wollmilchsau, die 1000...

FrankKipf 11. Apr 2014

Das perverse an der Geschichte ist doch, dass der Code von zig Firmen in zig Produkten...

Youssarian 11. Apr 2014

Doch, das finde ich in Ordnung. All dies hat hier nicht stattgefunden. Vielmehr hat...

DerVorhangZuUnd... 11. Apr 2014

Sehr richtig erkannt! Herr Guillotine wollte damals im 17. Jahrhundert ja auch am...


Folgen Sie uns
       


Coup Elektroroller in Berlin - Kurzbericht

Coup lädt bis zu 154 Akkus in Berlin an einer automatischen Ladestation für 1.000 Elektroroller auf.

Coup Elektroroller in Berlin - Kurzbericht Video aufrufen
Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

HP Elitebook 840 und Toshiba Tecra X40: Es kann nur eines geben
HP Elitebook 840 und Toshiba Tecra X40
Es kann nur eines geben

Nicht nur Lenovo baut gute Business-Notebooks, auch HP und Toshiba haben Produkte, die vergleichbar sind. Wir stellen je ein Modell der beiden Hersteller mit ähnlicher Hardware gegenüber: das eine leichter, das andere mit überlegenem Akku - ein knapper Gewinner nach Punkten.
Ein Test von Oliver Nickel

  1. Portégé X20W-D-145 Toshiba stellt alte Hardware im flexiblen Chassis vor
  2. Tecra X40-E-10W Toshibas 14-Zoll-Thinkpad-Pendant kommt mit LTE
  3. Dell, HP, Lenovo AMDs Ryzen Pro Mobile landet in allen Business-Notebooks

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

    •  /