Heartbleed: Verschlüsselungs-GAU

: 08. April 2014

Verschlüsselungs-GAU im Internet: Es gibt eine schwere Sicherheitslücke (mit dem schönen Beinamen „Heartbleed“) in der Verschlüsselungsbibliothek OpenSSL, mit der man das halbe Internet kompromittieren kann. Ein Angreifer kann Schlüssel, Passwörter, Kreditkartennummern und andere geheime Daten klauen.

OpenSSL ist eine Standard-Verschlüsselungsbibliothek, die von allem eingesetzt wird, das irgendetwas mit SSL tut. OpenSSL war in den letzten Monaten bereits durch ein NSA-Backdoor in einem der Zufallszahlengeneratoren aufgefallen, der jedoch nie funktioniert hat, wodurch der Schaden gering war. Bei dem neuen Heartbleed-Angriff ist das anders.

Ein Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Konkret bedeutet das: Ein Angreifer kann Schlüssel, Passwörter und andere geheime Daten klauen.

Die Entdecker der Lücke sprechen vom Heartbleed Bug, weil der Fehler in der Heartbeat-Funktion gefunden wurde. Über einen Heartbeat tauschen Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen, heißt es im Security Advisory TLS heartbeat read overrun (CVE-2014-0160). Laut der Beschreibung der Entdecker gelang es in Tests auf diesem Weg die geheimen Schlüssel eines Server-Zertifikats, Usernamen, Passwörter und auch verschlüsselte übertragenen Daten wie E-Mails zu stehlen. Und das alles ohne irgendwelche Spuren auf dem Server zu hinterlassen.

In erster Linie betroffen sind jetzt alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen. Das sind nicht nur Web-Server, sondern häufig auch solche für E-Mail, VPN und andere Dienste. Es ist äußerst wichtig, diese Systeme jetzt schnellstmöglichst zu sichern. Die Version OpenSSL 1.0.1g enthält den Fehler nicht mehr. Debian stellt bereits ein Update bereit; andere Distributionen werden bald folgen. Wer OpenSSL selbst mit der Option -DOPENSSL_NO_HEARTBEATS übersetzt, kann eine nicht anfällige Bibliothek erzeugen. [Update: Versionen vor der aktuellen 1.0.1 wie das auf älteren Systemen noch verbreitete OpenSSL 0.9.8 sind offenbar nicht betroffen.]

Wissen macht reich: Vertrauliche Börsen-News im MM-Club

Neue Videos:

Marlene Dietrich in "Der blaue Engel" - 1. deutscher Tonfilm: YouTube

Nur für kurze Zeit:
1000 $ Bonus + geschenkt für Kontoeröffnung bei Top-Kryptobörse

blog comments powered by DISQUS back to top

Börse 24h

Börsen News

US-Börsen legen zu - KI-Hoffnung treibt Tech-Aktien an

Dax legt kräftig zu - Rückenwind aus den USA

Warum die Börse genauso unberechenbar ist wie Roulette

Dax am Mittag weiter freundlich - defensive Sektoren im Fokus

Bitcoin News

Wie kann Krypto der iGaming Branche helfen, um weiterhin relevant zu bleiben?

Welche Krypto kaufen 2024

Verändert Krypto das globale Finanzwesen?

Ohne Risiko geht es im Leben nicht

Experten: bis 2027 etwa 18 Billionen US-Dollar in Bitcoin-ETFs

Spenden an MMnews

BTC:
1No5Lj1xnqVPzzbaKRk1kDHFn7dRc5E5yu

BCH:
qpusq6m24npccrghf9u9lcnyd0lefvzsr5mh8tkma7 Ethereum:
0x2aa493aAb162f59F03cc74f99cF82d3799eF4CCC

Net-Tipps

Alternativer Newsticker

Bitcoin News

Top Videos

Videos: Relax-Kanal

Aktuelle Presse

Bundestagsvizepräsidentin für Prüfung von AfD-Verbotsverfahren

Nach den jüngsten Enthüllungen über AfD-Politiker und ihre Mitarbeiter dringt die Vizepräsidentin des Bundestages, Katrin Göring-Eckardt (Grüne), auf ein Verbotsverfahren gegen [ ... ]

Esken warnt FDP vor Infragestellen der Ampel

Vor dem FDP-Parteitag hat SPD-Chefin Saskia Esken die Liberalen davor gewarnt, Zweifel am Bestand der Ampelkoalition zu nähren. "Angesichts der gegenwärtigen internationalen Krisen widerspräche [ ... ]

DGB für Mindestlohn-Erhöhung auf mindestens 14 Euro

Der Deutsche Gewerkschaftsbund (DGB) hat die Regierungskoalition dazu aufgefordert, den Mindestlohn entsprechend einer ab November gültigen EU-Richtlinie anzuheben. "Diese Richtlinie ist bis kommenden [ ... ]

Nach ATACMS-Lieferung: Heusgen pocht auf Taurus-Lieferung an Ukraine

Nach der US-Lieferung von ATACMS-Raketen an Kiew hat der Chef der Münchner Sicherheitskonferenz, Christoph Heusgen, Bundeskanzler Olaf Scholz (SPD) aufgefordert, sein Nein zur Abgabe von Taurus-Marschflugkörpern [ ... ]

Umwelthilfe klagt gegen Lufthansa

Die Deutsche Umwelthilfe (DUH) geht gerichtlich gegen die Lufthansa vor und hat Unterlassungsklage beim Landgericht Köln eingereicht. Das geht aus einer Mitteilung der Umweltschutzorganisation hervor, [ ... ]

Bürgergeld: 325.000 Haushalte zahlten 2023 bei Wohnkosten drauf

325.000 Haushalte im Bürgergeld-Bezug mussten im vergangenen Jahr bei den Kosten für Unterkunft und Heizen draufzahlen. Das geht aus Antworten der Bundesregierung auf Antworten der Linken-Politikerin [ ... ]

Jusos verlangen von SPD härtere Gangart gegenüber FDP

Juso-Chef Philipp Türmer fordert von seiner Partei eine schärfere Auseinandersetzung mit der FDP. "Die Gangart ihr gegenüber muss härter werden - das sind wir insbesondere jungen Menschen [ ... ]

MMnews Suche

Artikel+Inhaltsuche