+49 241 149 46 0 information@plesnik.de

OpenSSL Verschlüsselung enthält schwerwiegende Fehler

von | 9.04.2014 (Apr) | Datensicherheits Beratung, IT Support & IT Service

Wie gestern bekannt wurde existiert ein Schwerwiegender Fehler bei der Verschlüsselung mit verschiedenen Versionen von OpenSSL

Die Versionen von OpenSSL von 1.0.1 bis einschließlich 1.0.1f sind offenbar betroffen. Die Versionen 1.0.1g, 1.0.0 und 0.9.8 sind nach aktuellem Kenntnisstand nicht betroffen.

Gerne überprüfen wir auch Ihre Systeme auf diese Anfälligkeit.

Ein äußerst schwerwiegender Programmierfehler gefährdet offenbar Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Angesichts der Verbreitung der OpenSource-Bibliothek eine ziemliche Katastrophe.

Die Entwickler von OpenSSL veröffentlichen ein Update ihrer weit verbreiteten Verschlüsselungsbibliothek, das äußerst schlechte Nachrichten transportiert: Ein Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Konkret bedeutet das: Ein Angreifer kann Schlüssel, Passwörter und andere geheime Daten klauen.

Die Entdecker der Lücke sprechen vom Heartbleed Bug, weil der Fehler in der Heartbeat-Funktion gefunden wurde. Über einen Heartbeat tauschen Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen, heißt es im Security Advisory von OpenSSL. Laut der Beschreibung der Entdecker gelang es in Tests auf diesem Weg die geheimen Schlüssel eines Server-Zertifikats, Usernamen, Passwörter und auch verschlüsselte übertragenen Daten wie E-Mails zu stehlen. Und das alles ohne irgendwelche Spuren auf dem Server zu hinterlassen.

In erster Linie betroffen sind jetzt alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen. Das sind nicht nur Web-Server, sondern häufig auch solche für E-Mail, VPN und andere Dienste. Es ist äußerst wichtig, diese Systeme jetzt schnellstmöglichst zu sichern. Die Version OpenSSL 1.0.1g enthält den Fehler nicht mehr. Debian stellt bereits ein Update bereit; andere Distributionen werden bald folgen. Wer OpenSSL selbst mit der Option -DOPENSSL_NO_HEARTBEATS übersetzt, kann eine nicht anfällige Bibliothek erzeugen. Versionen vor der aktuellen 1.0.1 wie das auf älteren Systemen noch verbreitete OpenSSL 0.9.8 sind offenbar nicht betroffen.

Hier ein Auszug aus einem Heise.de Newsticker Beitrag

Sascha Kück ist als IT-Systemintegrator in der Ing.-Büro Dr. Plesnik GmbH beschäftigt. Als Spezialist für Virtualisierung und Cloud Services entwickelt und betreut er unser Online-Backup, welches wir erfolgreich bei vielen Kunden einsetzen. Seine neuste Produktreihe umfasst cloudbasierte Terminal-Server mit bahnbrechender Geschwindigkeit.