"Heartbleed"

Testen Sie, ob Ihr OpenSSL-Dienst sicher ist

Die schwere Sicherheitslücke in OpenSSL trifft Web-Provider und Cloud-Services weitgehend unvorbereitet. Anwender sollten in den kommenden Tagen deshalb besonders vorsichtig sein. Wir geben Ihnen Tipps, wie Sie feststellen, ob und wie auch Sie betroffen sein können.

Der "Heartbleed"-Bug in der Krypto-Softwarebibliothek OpenSSL ist deshalb so gefährlich, weil zwei Dritter aller Web-Server (Apache, nginx) die Bibliothek einsetzen, sie überdies in E-Mail- und Messaging-Diensten und sogar Betriebssystemen werkelt.

Viele Server-Betreiber haben bereits reagiert und ihre OpenSSL-Installationen gepatcht. Auch bieten die meisten Linux-Distributionen inzwischen die geupdatete Version via Paketmanager an.

Einige Services sind aber nach wie vor anfällig. Wer wissen möchte, ob ein von ihm genutzter Online-Dienst noch anfällig ist, kann dies auf http://filippo.io/Heartbleed/ und http://possible.lv/tools/hb/ tun. Für Server-Betreiber steht das Heartbleed-Checker-Script auch für einen lokalen Test zur Verfügung. Weitere Testmodule sind für Metasploit, Nessus, OpenVAS und Nmap erhältlich. (mje)