Abo
  • Services:
Anzeige
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz.
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz. (Bild: Heartbleed.com/Screenshot: Golem.de)

Sicherheitslücke: Keys auslesen mit OpenSSL

Der Heartbleed-Bug bedroht die Verschlüsselung im Netz.
Der Heartbleed-Bug bedroht die Verschlüsselung im Netz. (Bild: Heartbleed.com/Screenshot: Golem.de)

Ein Fehler in OpenSSL lässt das Auslesen von Arbeitsspeicher zu. Damit können Angreifer private Keys von Servern erhalten. Eine sichere Verschlüsselung ist nicht mehr gewährleistet. Der Bug betrifft sehr viele Web- und Mailserver im Internet.

Anzeige

In OpenSSL wurde eine Sicherheitslücke entdeckt, welche die Sicherheit von TLS-Verbindungen vollständig untergräbt und einen großen Teil der im Internet verfügbaren Dienste betreffen dürfte. Ein Angreifer kann mit einem gezielt manipulierten Datenpaket Speicher auslesen. Laut Aussagen der Entdecker der Sicherheitslücke sei es ihnen in Tests damit gelungen, den privaten Schlüssel eines TLS-Servers zu extrahieren. Die Entdecker der Sicherheitslücke nennen diese Heartbleed Bug, sie hat die ID CVE-2014-0160 erhalten.

Die Sicherheitslücke steckt im Code für die sogenannte Heartbeat-Erweiterung von TLS. Sie wurde vor zwei Jahren in OpenSSL 1.0.1 eingeführt und soll langlebige, TLS-gesicherte Verbindungen erleichtern. Genutzt wird sie nur selten, aber in der Standardeinstellung von aktuellen OpenSSL-Versionen ist die Erweiterung aktiv. Alle Versionen von 1.0.1 bis einschließlich 1.0.1f sind betroffen. Eine korrigierte Version 1.0.1g wurde heute veröffentlicht und eine entsprechende Warnung vom OpenSSL-Team herausgegeben. Daneben behebt OpenSSL 1.0.1g noch zwei weitere, weniger gravierende Sicherheitsprobleme.

Entdeckt wurde die Sicherheitslücke unabhängig voneinander von einem Team der finnischen Sicherheitsfirma Codenomicon und dem Sicherheitsteam von Google. Die Entdecker befürchten allerdings, dass weitere Personen die Sicherheitslücke schon früher entdeckt haben könnten und sie bereits ausnutzen. Auf Serverseite gibt es keine Möglichkeit, eine Attacke zu erkennen, die in der Vergangenheit stattgefunden hat.

Alle Administratoren von Servern, die OpenSSL 1.0.1 einsetzen, sollten umgehend OpenSSL aktualisieren und alle Services, die TLS-Verbindungen ermöglichen, neu starten. Auch Anwendungssoftware nutzt häufig OpenSSL, Nutzer sollten daher in den nächsten Tagen nach Updates von Mailprogrammen, Browsern und anderen Netzapplikationen mit TLS-Unterstützung suchen. Unter Linux und anderen Unix-Systemen sollte die systemweite OpenSSL-Bibliothek aktualisiert werden. Glück gehabt haben Anwender älterer Distributionen, die noch auf OpenSSL 1.0.0 oder eine der 0.9-Versionen setzen, denn diese sind von dem Problem nicht betroffen.

Für Serveradministratoren stellt sich die Frage, ob sie nicht nur ihre Systeme updaten müssen, sondern auch davon ausgehen sollten, dass die privaten Keys von TLS-Diensten möglicherweise bereits gestohlen wurden. Da sich der Angriff nicht feststellen lässt, ist es möglicherweise ratsam, vorsorglich alle TLS-Zertifikate auszutauschen und sie durch neue Zertifikate mit neuen privaten Schlüsseln zu ersetzen.

Offenbar wurden einige Betreiber von Internetservices vorab von dem Problem informiert. Die Firma Cloudflare, ein großer Anbieter von Content Delivery Networks, schreibt in ihrem Blog, dass bereits vergangene Woche ein Update auf den Servern eingespielt wurde. Das wird vermutlich noch zu Diskussionen über den Veröffentlichungsprozess der Sicherheitslücke führen. Auf Twitter hat der Entwickler von GrSecurity, Brad Spengler, dieses Vorgehen kritisiert.

OpenSSL wird von einer Vielzahl von Server- und Clientsoftware verwendet. Die Mehrzahl der Webserver, die entweder die Software Apache oder nginx einsetzen, nutzt für HTTPS-Verbindungen OpenSSL. Auch die meisten Mailserver wie Postfix oder Sendmail nutzen OpenSSL. Laut Aussage von Ivan Ristic, der den bekannten SSL-Test der Firma Qualys betreibt, unterstützt etwa ein Drittel der HTTPS-Server im Netz TLS 1.2. Die meisten davon sind vermutlich von dem Problem betroffen.

Viele Administratoren haben in den vergangenen Monaten ihre Server auf OpenSSL 1.0.1 aktualisiert, weil es die erste Version von OpenSSL ist, welche die neueren Standards TLS 1.1 und 1.2 unterstützt. Zuletzt geriet die Sicherheit von TLS immer mehr unter Beschuss und nach verschiedenen Sicherheitsproblemen im Protokoll wie der BEAST-Attacke, der Lucky-Thirteen-Attacke und Angriffen auf das RC4-Verfahren galt eigentlich nur noch TLS 1.2 mit AES-GCM als wirklich sicher. Die Ironie der Geschichte ist also, dass vor allem die Administratoren, die sich um die Beseitigung von weit weniger kritischen Sicherheitsproblemen in TLS bemüht haben, jetzt von diesem gravierenden Bug betroffen sind.

Nachtrag vom 8. April 2014, 9:55 Uhr

Inzwischen gibt es verschiedene Onlinetests, mit denen sich die eigenen Server auf die Heartbleed-Lücke testen lassen. Ein Test für HTTPS-Server findet sich beispielsweise hier. Für die meisten wichtigen Linux-Distributionen wie Ubuntu, Debian und Fedora stehen inzwischen aktualisierte Pakete zur Verfügung, die alle Nutzer umgehend einspielen sollten. Das Apple-Betriebssystem Mac OS X Mavericks ist nicht verwundbar, da dort eine ältere Version von OpenSSL genutzt wird.


eye home zur Startseite
EynLinuxMarc 16. Dez 2014

Habt ihr nix anders zu tun als in jeder ecke NSA zu sehen. ????? Wird das nicht irgent...

frostbitten king 10. Apr 2014

Das gluabe ich nicht :). Allein das, ok, welche Befehle waren das noch gleich, und welche...

adminblogger 09. Apr 2014

Google nutzt unterschiedliche Rechenzentren und ja, je nachdem wo man gerade landet, auch...

Dopeusk18 09. Apr 2014

if (heartbleed == TRUE){ echo 'Alles Okay' } :D:D

scroogie 09. Apr 2014

Ja, ist es, wenn es gegen die entsprechende OpenSSL Version gelinkt ist. Sowohl Server...



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Darmstadt
  2. K+S Aktiengesellschaft, Kassel
  3. Medion AG, Essen
  4. Dataport, Hamburg


Anzeige
Spiele-Angebote
  1. (-33%) 9,99€
  2. ab 59,95€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Hauptversammlung

    Rocket Internet will eine Bank sein

  2. Alphabet

    Google-Chef verdient 200 Millionen US-Dollar

  3. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  4. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  5. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  6. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  7. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  8. Die Woche im Video

    Mr. Robot und Ms MINT

  9. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  10. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sonos Playbase vs. Raumfeld Sounddeck: Wuchtiger Wumms im Wohnzimmer
Sonos Playbase vs. Raumfeld Sounddeck
Wuchtiger Wumms im Wohnzimmer
  1. Playbase im Hands on Sonos bringt kraftvolles Lautsprechersystem fürs Heimkino

Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

Siege M04 im Test: Creatives erste Sound-Blaster-Maus überzeugt
Siege M04 im Test
Creatives erste Sound-Blaster-Maus überzeugt

  1. Re: Kein Mensch ist 200 Mio. Dollar/Euro Wert

    gaym0r | 06:27

  2. Übersetzt

    Sharra | 04:49

  3. Ist mit den Zahlungen dann auch Schluss?

    ecv | 04:32

  4. Re: Beispiel?

    Shutdown | 03:27

  5. Re: Schöner Bericht

    SvD | 02:50


  1. 13:08

  2. 12:21

  3. 15:07

  4. 14:32

  5. 13:35

  6. 12:56

  7. 12:15

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel