Abo
  • Services:
Anzeige
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz.
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz. (Bild: Heartbleed.com/Screenshot: Golem.de)

Sicherheitslücke: Keys auslesen mit OpenSSL

Der Heartbleed-Bug bedroht die Verschlüsselung im Netz.
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz. (Bild: Heartbleed.com/Screenshot: Golem.de)

Ein Fehler in OpenSSL lässt das Auslesen von Arbeitsspeicher zu. Damit können Angreifer private Keys von Servern erhalten. Eine sichere Verschlüsselung ist nicht mehr gewährleistet. Der Bug betrifft sehr viele Web- und Mailserver im Internet.

Anzeige

In OpenSSL wurde eine Sicherheitslücke entdeckt, welche die Sicherheit von TLS-Verbindungen vollständig untergräbt und einen großen Teil der im Internet verfügbaren Dienste betreffen dürfte. Ein Angreifer kann mit einem gezielt manipulierten Datenpaket Speicher auslesen. Laut Aussagen der Entdecker der Sicherheitslücke sei es ihnen in Tests damit gelungen, den privaten Schlüssel eines TLS-Servers zu extrahieren. Die Entdecker der Sicherheitslücke nennen diese Heartbleed Bug, sie hat die ID CVE-2014-0160 erhalten.

Die Sicherheitslücke steckt im Code für die sogenannte Heartbeat-Erweiterung von TLS. Sie wurde vor zwei Jahren in OpenSSL 1.0.1 eingeführt und soll langlebige, TLS-gesicherte Verbindungen erleichtern. Genutzt wird sie nur selten, aber in der Standardeinstellung von aktuellen OpenSSL-Versionen ist die Erweiterung aktiv. Alle Versionen von 1.0.1 bis einschließlich 1.0.1f sind betroffen. Eine korrigierte Version 1.0.1g wurde heute veröffentlicht und eine entsprechende Warnung vom OpenSSL-Team herausgegeben. Daneben behebt OpenSSL 1.0.1g noch zwei weitere, weniger gravierende Sicherheitsprobleme.

Entdeckt wurde die Sicherheitslücke unabhängig voneinander von einem Team der finnischen Sicherheitsfirma Codenomicon und dem Sicherheitsteam von Google. Die Entdecker befürchten allerdings, dass weitere Personen die Sicherheitslücke schon früher entdeckt haben könnten und sie bereits ausnutzen. Auf Serverseite gibt es keine Möglichkeit, eine Attacke zu erkennen, die in der Vergangenheit stattgefunden hat.

Alle Administratoren von Servern, die OpenSSL 1.0.1 einsetzen, sollten umgehend OpenSSL aktualisieren und alle Services, die TLS-Verbindungen ermöglichen, neu starten. Auch Anwendungssoftware nutzt häufig OpenSSL, Nutzer sollten daher in den nächsten Tagen nach Updates von Mailprogrammen, Browsern und anderen Netzapplikationen mit TLS-Unterstützung suchen. Unter Linux und anderen Unix-Systemen sollte die systemweite OpenSSL-Bibliothek aktualisiert werden. Glück gehabt haben Anwender älterer Distributionen, die noch auf OpenSSL 1.0.0 oder eine der 0.9-Versionen setzen, denn diese sind von dem Problem nicht betroffen.

Für Serveradministratoren stellt sich die Frage, ob sie nicht nur ihre Systeme updaten müssen, sondern auch davon ausgehen sollten, dass die privaten Keys von TLS-Diensten möglicherweise bereits gestohlen wurden. Da sich der Angriff nicht feststellen lässt, ist es möglicherweise ratsam, vorsorglich alle TLS-Zertifikate auszutauschen und sie durch neue Zertifikate mit neuen privaten Schlüsseln zu ersetzen.

Offenbar wurden einige Betreiber von Internetservices vorab von dem Problem informiert. Die Firma Cloudflare, ein großer Anbieter von Content Delivery Networks, schreibt in ihrem Blog, dass bereits vergangene Woche ein Update auf den Servern eingespielt wurde. Das wird vermutlich noch zu Diskussionen über den Veröffentlichungsprozess der Sicherheitslücke führen. Auf Twitter hat der Entwickler von GrSecurity, Brad Spengler, dieses Vorgehen kritisiert.

OpenSSL wird von einer Vielzahl von Server- und Clientsoftware verwendet. Die Mehrzahl der Webserver, die entweder die Software Apache oder nginx einsetzen, nutzt für HTTPS-Verbindungen OpenSSL. Auch die meisten Mailserver wie Postfix oder Sendmail nutzen OpenSSL. Laut Aussage von Ivan Ristic, der den bekannten SSL-Test der Firma Qualys betreibt, unterstützt etwa ein Drittel der HTTPS-Server im Netz TLS 1.2. Die meisten davon sind vermutlich von dem Problem betroffen.

Viele Administratoren haben in den vergangenen Monaten ihre Server auf OpenSSL 1.0.1 aktualisiert, weil es die erste Version von OpenSSL ist, welche die neueren Standards TLS 1.1 und 1.2 unterstützt. Zuletzt geriet die Sicherheit von TLS immer mehr unter Beschuss und nach verschiedenen Sicherheitsproblemen im Protokoll wie der BEAST-Attacke, der Lucky-Thirteen-Attacke und Angriffen auf das RC4-Verfahren galt eigentlich nur noch TLS 1.2 mit AES-GCM als wirklich sicher. Die Ironie der Geschichte ist also, dass vor allem die Administratoren, die sich um die Beseitigung von weit weniger kritischen Sicherheitsproblemen in TLS bemüht haben, jetzt von diesem gravierenden Bug betroffen sind.

Nachtrag vom 8. April 2014, 9:55 Uhr

Inzwischen gibt es verschiedene Onlinetests, mit denen sich die eigenen Server auf die Heartbleed-Lücke testen lassen. Ein Test für HTTPS-Server findet sich beispielsweise hier. Für die meisten wichtigen Linux-Distributionen wie Ubuntu, Debian und Fedora stehen inzwischen aktualisierte Pakete zur Verfügung, die alle Nutzer umgehend einspielen sollten. Das Apple-Betriebssystem Mac OS X Mavericks ist nicht verwundbar, da dort eine ältere Version von OpenSSL genutzt wird.


eye home zur Startseite
EynLinuxMarc 16. Dez 2014

Habt ihr nix anders zu tun als in jeder ecke NSA zu sehen. ????? Wird das nicht irgent...

frostbitten king 10. Apr 2014

Das gluabe ich nicht :). Allein das, ok, welche Befehle waren das noch gleich, und welche...

adminblogger 09. Apr 2014

Google nutzt unterschiedliche Rechenzentren und ja, je nachdem wo man gerade landet, auch...

Dopeusk18 09. Apr 2014

if (heartbleed == TRUE){ echo 'Alles Okay' } :D:D

scroogie 09. Apr 2014

Ja, ist es, wenn es gegen die entsprechende OpenSSL Version gelinkt ist. Sowohl Server...



Anzeige

Stellenmarkt
  1. Music & Sales GmbH, St. Wendel
  2. BASF Business Services GmbH, Ludwigshafen
  3. ACP IT Solutions AG, Hamburg
  4. Prym Consumer Europe GmbH, Stolberg


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. GPD Pocket im Test

    Winziger Laptop für Wenigtipper

  2. Neue WLAN-Treiber

    Intel muss WLAN und AMT-Management gegen Krack patchen

  3. Kabel-Radio

    Sachsen will auch schnelle UKW-Abschaltung im Kabel

  4. To Be Honest

    Facebook kauft Wahrheits-App

  5. Lüfter

    Noctua kann auch in Schwarz

  6. Microsoft

    Supreme Court entscheidet über die Zukunft der Cloud

  7. Windows 10

    Microsoft zeigt Fluent Design im Detailvideo

  8. Bungie

    Letzte Infos vor dem Start der PC-Fassung von Destiny 2

  9. Ubiquiti Amplifi und Unifi

    Erster Consumer-WLAN-Router wird gegen Krack gepatcht

  10. Samyang

    Lichtstarkes Weitwinkelobjektiv für Sonys FE-Kameras



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

Indiegames-Rundschau: Fantastische Fantasy und das Echo der Doppelgänger
Indiegames-Rundschau
Fantastische Fantasy und das Echo der Doppelgänger
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler
  3. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob

  1. Re: muss nicht zwangsweise bei Steam aktiviert werden

    non_existent | 11:48

  2. Re: Dann hat VW offensichtlich schon immer...

    David64Bit | 11:45

  3. Re: Netgear hat gestern bereits gepatched

    as (Golem.de) | 11:45

  4. Re: Probleme sehe ich nicht bei Win, Mac...

    mgra | 11:45

  5. Re: AVM haelt sich bedeckt?

    bombinho | 11:45


  1. 11:59

  2. 11:54

  3. 11:50

  4. 11:41

  5. 11:10

  6. 10:42

  7. 10:39

  8. 10:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel