"Heartbleed"

Schwere Sicherheitslücke in OpenSSL entdeckt

Forscher haben eine extrem kritische Schwachstelle in der Krypto-Softwarebibliothek OpenSSL gefunden.

Geschätzte zwei Drittel aller Web-Server (OpenSSL kommt standardmäßig in Apache und nginx zum Einsatz) verwenden die Library, um sich gegenüber Endnutzern zu identifizieren und das Abgreifen von Passwörtern, Bankdaten und anderen sensiblen Informationen zu verhindern. OpenSSL steckt überdies auch in vielen Betriebssystemen sowie E-Mail- und Instant-Messaging-Programmen, wie unter anderem der Branchendienst "Ars Technica" berichtet.

Der jetzt von Sicherheitsexperten bei Google und Codenomicon öffentlich gemachte Fehler (CVE-2014-0160) steckt seit mehr als zwei Jahren in den Produktionsversionen 1.0.1 bis 1.0.1f von OpenSSL, genauer in der Implementierung der TLS-Heartbeat-Erweiterung (IETF RFC 6520). Er wurde deswegen "Heartbleed" getauft und ermöglicht es, den privaten Schlüssel digitaler Zertifikate wiederherzustellen und anschließend missbräuchlich zu verwenden. Das hinterlässt dummerweise keinerlei Spuren in den Server-Logfiles und erschwert damit eine entsprechende Forensik enorm.

Zwar gibt es bereits die fehlerbereinigte OpenSSL-Version 1.0.1g, neben dem Einspielen des Patches könnten aber noch weitere Sicherheitsmaßnahmen wie das Rückrufen betroffener Keys und Ausgabe neuer Schlüssel sowie das Ungültigmachen von Session-Keys und -Cookies erfordern.

Derzeit häufen sich Sicherheitslücken rund um HTTPS, die stardardmäßige und oft einzige Methode zur Verschlüsselung von Webseiten. Im vergangenen Monat hatten die Entwickler von GnuTLS eine ähnlich gravierende Sicherheitslücke gemeldet, und im Februar musste Apple ein dickes Leck ("GoToFail") in seinen Betriebssystemen iOS und OS X stopfen. (cvi)