Der Heartbleed-Fehler in OpenSSL: Möglicherweise die gravierendste Security-Lücke der letzten Jahre

Durch die Security-Lücke Heartbleed müssen Server-Betreiber OpenSSL aktualisieren und SSL-Zertifikate mit neuen privaten Schlüsseln ausstellen.

Die kürzlich entdeckte und extrem kritische Sicherheits-Lücke Heartbleed in OpenSSL hat sich sehr schnell über das Internet verbreitet. OpenSSL ist eine kryptographische Software-Bibliothek. Sie stellt SSL/TLS-Funktionalität für den Netzwerk-Verkehr über das Internet bereit. Die Web-Server Apache und Nginx, die weit über die Hälfte der weltweiten Websites antreiben, benutzen die Bibliothek. Weiterhin findet sie Einsatz in Virtual Private Networks (VPN), Instant Messaging und sogar E-Mail. Man kann also sagen, dass OpenSSL in vielen Client-Software-Produkten, Geräten und Appliances beheimatet ist.

Wegen eines Fehlers in der Heartbeat-Erweiterung von TLS können Angreifer möglicherweise ein Memory Leak (Speicherleck) ausnutzen. Dadurch lassen sich verschiedene sensible Informationen über den privaten Schlüssel des Servers ausfindig machen. Am schlimmsten ist aber, dass sich der kürzlich gefundene Bug bereits seit dem Jahre 2012 in OpenSSL befindet. Ganz speziell sind alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f verwundbar. Der Fehler wurde mit Herausgabe der Version 1.0.1g ausgebessert.

Man muss nicht speziell darauf hinweisen, dass die Konsequenzen dieser Security-Lücke enorm sind. Jeder Remote-Angreifer kann theoretisch den privaten Schlüssel eines Servers einsehen und somit jeglichen mit SSL verschlüsselten Datenverkehr dieses Servers entschlüsseln. Spuren hinterlässt der Cyberkriminelle keine. Somit ist das Patchen der Sicherheitslücke oder das Einspielen eines Updates nicht genug. Alle Services, die mit sensiblen Informationen zu tun haben, müssen außerdem ihre privaten Schlüssel ändern und die SSL-Zertifikate erneuern.

Für weitere Informationen empfehlen wir einen Besuch auf der Website heartbleed.com. Mithilfe dieses Tests können Sie herausfinden, ob Ihr Server kompromittiert ist. Ebenfalls können Sie die auf Ihrem Server installierte OpenSSL-Version überprüfen.

Sollte Ihr Server kompromittiert sein, aktualisieren Sie zunächst auf OpenSSL 1.0.1g. Alle großen Linux- und *BSD-Distributionen haben bereits Updates zur Verfügung gestellt. Finden Sie das aktuelle Paket nicht, können Sie OpenSSL mithilfe des Quell-Codes kompilieren und dabei die Unterstützung für Heartbeat deaktivieren.

Leider können Sie nicht herausfinden, ob Ihr Server bereits unter Ausnutzung dieses Fehlers angegriffen wurde. Sie gehen auf jeden Fall auf Nummer Sicher, wenn Sie die SSL-Zertifikate mit neuen privaten Schlüsseln neu ausstellen.

Ein trauriger Nebeneffekt des Heartbleed-Debakels ist, dass es der Reputation von Open-Source schadet. Genau genommen ist es ein Schlag gegen die Behauptung, dass Open-Source sicherer ist, weil mehr Leute den Quellcode einsehen können und somit mögliche Security-Lecks finden. Hinter dieser Aussage steckt auch viel Wahrheit. Realistisch gesehen werden nicht viele Entwickler so ein großes Projekt wie OpenSSL aus reiner Neugierde überprüfen. Man kann nur hoffen, dass Heartbleed ein guter Grund ist, einen Sponsor zu finden, der ein angemessenes Security-Audit für OpenSSL und andere Open-Source-Security-Software möglich macht.

Für Service-Provider ist Heartbleed allerdings eine gute Möglichkeit, ihre SSL-Schlüssel länger und somit sicherer zu machen.

Über den Autor: Alexei Balaganski ist CTO bei KuppingerCole. Er arbeitet dort auch als Analyst mit speziellem Fokus auf Mobile und Cloud Security. Sein tiefes technisches Verständnis erlaubt es ihm, Kunden auch bei komplexen Architektur-und Sicherheitsherausforderungen zu unterstützen. Er arbeitet seit über 15 Jahren IT-Branche und besitzt einen Abschluss als Master of Science in Mathematik sowie Informatik. Alexei Balaganski hat Erfahrung mit Softwareentwicklung, Netzwerkadministration und Informationssicherheit. Vor seinem Eintritt bei KuppingerCole im Jahr 2007 beteiligte und verantwortete er mehrere IT-Projekte wie E-Commerce, Hochlast- und Cloud-Anwendungen.

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über VPN-Sicherheit und -Konfiguration

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close