Definition

Heartbleed

Heartbleed ist eine Sicherheitslücke in einigen Implementierungen der Verschlüsselungssoftware OpenSSL. OpenSSL ist kostenlos und daher weit verbreitet. Auch das macht die Schwachstelle so gravierend.

Aufgrund der Sicherheitslücke, die formal unter dem Kürzel CVE-2014-0160 bekannt ist, kann ein Angreifer pro Angriff bis zu 64 KB des Arbeitsspeichers auf jedem angeschlossenen Client oder Server auslesen. Der Angriff kann mehrmals hintereinander erfolgen, um mehr Speicher auszulesen und so Daten abzufischen.

Heartbleed erhielt seinen Namen, weil es eine OpenSSL-Schwachstelle der Heartbeat-Erweiterung für die Protokolle TLS und DTLS (RFC 6520) darstellt. Die Funktion Heartbeat ("Herzschlag") schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten online sind.

Security-Experten von Google und Codenomicon entdeckten die Sicherheitslücke, die auf schlecht geschriebenem Code zurückgeht. Den Forschern war schnell klar, dass ein Angreifer den Fehler ausnutzen kann, um verschlüsselte Inhalte, Benutzernamen, Passwörter und private Schlüssel für X.509-Zertifikate auszulesen. Da rund 66 Prozent aller aktiven Websites im Internet OpenSSL verwenden, schätzen viele Experten Heartbleed als eine der schlimmsten Sicherheitslücken in der Geschichte des Internets ein.

Die Heartbleed-Schwachstelle existiert in allen zwischen März 2012 und April 2014 veröffentlichten Versionen von OpenSSL. Mit dem Release von OpenSSL Version 1.0.1g im April wurde der Softwarefehler behoben. OpenSSL.org empfiehlt Unternehmen ein Upgrade auf die neueste Version von OpenSSL und die Neuauflage der X.509-Zertifikate mit neuen Schlüsseln, um die negativen Auswirkungen der Heartbleed zu verringern. Internet-Nutzer selbst sollten dringend ihre Passwörter für Websites ändern.

Diese Definition wurde zuletzt im März 2015 aktualisiert

Erfahren Sie mehr über Webserver-Bedrohungen

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close