Bug in OpenSSL eröffnet Einblick in Speicher

09.04.2014

Ein schwerwiegender Fehler in der OpenSSL-Bibliothek erlaubt Angreifern Einblick in den Speicher des vermeintlich geschützten Systems.

Neel Mehta der Security-Abteilung von Google hat einen Fehler in der OpenSSL-Bibliothek gemeldet, der es erlaubt, den Hauptspeicher eines Systems auszulesen, das eigentlich durch SSL-Verschlüsselung geschützt werden sollte. Der Fehler, der unter dem Code CVE-2014-0160 geführt wird, steckt in der Heartbeat-Erweiterung für TLS/DTLS, über die OpenSSL eine Keep-Alive-Funktion realisiert.

Unabhängig von Neel Mehta haben die Security-Experten von Codenomicon den Fehler entdeckt, den sie unter dem Namen " Heartbleed " ausführlich dokumentiert haben. In Tests konnten sie mithilfe des OpenSSL-Bugs die geheimen Schlüssel von X.509-Zertifikaten, Benutzernamen und Passwörter sowie E-Mails und andere Dokumente auslesen. Laut Codenomicon verhält es sich mit den verfügbaren Versionen von OpenSSL folgendermaßen:

  • OpenSSL 1.0.1 bis 1.0.1f sind von dem Bug betroffen
  • OpenSSL 1.0.1g sowie 1.0.0 und 0.9.8 sind davon nicht betroffen

Bei Betriebssystemen bedeutet das, dass Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Red Hat Enterprise Linux 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 10.0, NetBSD 5.0.2 und Open Suse 12.2 gefährdet sind. Für die meisten dieser Distributionen gibt es bereits Updates des OpenSSL-Pakets, die dringend empfohlen werden.

Da der Bug schon eine lange Zeit im OpenSSL-Code steckt, ist es möglich, dass Angreifer in der Vergangenheit unbemerkt davon Gebrauch gemacht haben. Von Exploits in freier Wildbahn ist allerdings bisher nichts bekannt geworden.

Um eventuell betroffene Server ruhigen Gewissens mit den alten Zertifikaten nutzen zu können, wird die Verwendung von Perfect Forward Secrecy in SSL empfohlen. 

Ob der eigene Server verwundbar ist, lässt sich unter  http://filippo.io/Heartbleed/  testen.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

LibreSSL neu, Bug in OpenSSL

Eine neue Version der alternativen SSL/TLS-Implementation ist erschienen. Gleichzeitig wurde ein neuer Bug in OpenSSL gefunden. 

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023