09.04.2014, 00:00 Uhr
Krypto-GAU Heartbleed - Sicherheitslücke bei OpenSSL-Verschlüsselung
Eine schwerwiegende Sicherheitslücke in der OpenSSL-Bibliothek gefährdet nicht nur Webserver, sondern auch Smartphones, Router, Smart-TVs und viele andere Geräte.
Mehrere Versionen der OpenSSL-Bibliothek weisen eine äusserst schwerwiegende Sicherheitslücke auf. Der Fehler betrifft die Überprüfung von Speicherzugriffen. Angreifer könnten ohne Spuren zu hinterlassen Teile des Hauptspeichers auslesen und dabei den privaten Schlüssel des Serverzertifikats, Benutzernamen und Passworte erbeuten.
Der Heartbleed Bug genannte Programmierfehler steckt im Quelltext der Heartbeat-Erweiterung von TLS, die zum Austausch von Statusinformationen verwendet wird. Betroffen sind Server mit SSL-Verschlüsselung - dazu zählen allerdings nicht nur Webserver, sondern auch E-Mail-Server, VPN-Server oder Router und NAS-Server, die OpenSSL zur Verschlüsselung von Fernzugriffen verwenden.
Welche OpenSSL-Versionen sind betroffen?
Laut den Sicherheitsexperten von Codenomicon, die den Fehler ebenso wie ein Google-Sicherheitsteam entdeckten, sind nicht alle Versionen der OpenSSL-Bibliothek vom Heartbleed Bug betroffen. Gefährdet sind insbesondere die neueren Versionen der Verschlüsselungssoftware:
OpenSSL Version 1.0.1g (vom 7. April 2014) ist nicht gefährdet. Hier wurde der Heartbleed Bug bereits behoben.
OpenSSL Version 1.0.1 bis einschliesslich 1.0.1f ist gefährdet
OpenSSL Version 1.0.0 ist nicht gefährdet
OpenSSL Version 0.9.8 ist nicht gefährdet
Ob ein Server vom Heartbleed Bug betroffen ist, lässt sich inzwischen auch mit zwei Online-Tests prüfen. Die Heartbleed Tests von Possible.lv und Filippo.io zeigen nicht nur Administratoren sondern auch Nutzern sicherheitskritischer Online-Dienste, ob ein Server von der Sicherheitslücke betroffen ist. Gefährdete Systeme sollten selbstverständlich schnellstmöglich gesichert werden.
AVM gibt Entwarnung für Fritzbox-Router
Der Heartbleed Bug betrifft nicht nur Server im Internet, sondern auch das Heimnetz. Auch Router, NAS-Server und andere Netzwerkgeräte nutzen die OpenSSL-Bibliothek zur Verschlüsselung von Internetverbindungen.
Die weit verbreiteten Router-Modelle der Fritzbox-Serie von AVM sind vom Heartbleed Bug nicht betroffen. Die Fritzbox-Router und auch die Fritz WLAN Repeatern verwenden OpenSSL 0.9.8 und diese Version ist von der Sicherheitslücke nicht betroffen. (ph/com!)
Der Heartbleed Bug genannte Programmierfehler steckt im Quelltext der Heartbeat-Erweiterung von TLS, die zum Austausch von Statusinformationen verwendet wird. Betroffen sind Server mit SSL-Verschlüsselung - dazu zählen allerdings nicht nur Webserver, sondern auch E-Mail-Server, VPN-Server oder Router und NAS-Server, die OpenSSL zur Verschlüsselung von Fernzugriffen verwenden.
Welche OpenSSL-Versionen sind betroffen?
Laut den Sicherheitsexperten von Codenomicon, die den Fehler ebenso wie ein Google-Sicherheitsteam entdeckten, sind nicht alle Versionen der OpenSSL-Bibliothek vom Heartbleed Bug betroffen. Gefährdet sind insbesondere die neueren Versionen der Verschlüsselungssoftware:
OpenSSL Version 1.0.1g (vom 7. April 2014) ist nicht gefährdet. Hier wurde der Heartbleed Bug bereits behoben.
OpenSSL Version 1.0.1 bis einschliesslich 1.0.1f ist gefährdet
OpenSSL Version 1.0.0 ist nicht gefährdet
OpenSSL Version 0.9.8 ist nicht gefährdet
Ob ein Server vom Heartbleed Bug betroffen ist, lässt sich inzwischen auch mit zwei Online-Tests prüfen. Die Heartbleed Tests von Possible.lv und Filippo.io zeigen nicht nur Administratoren sondern auch Nutzern sicherheitskritischer Online-Dienste, ob ein Server von der Sicherheitslücke betroffen ist. Gefährdete Systeme sollten selbstverständlich schnellstmöglich gesichert werden.
AVM gibt Entwarnung für Fritzbox-Router
Der Heartbleed Bug betrifft nicht nur Server im Internet, sondern auch das Heimnetz. Auch Router, NAS-Server und andere Netzwerkgeräte nutzen die OpenSSL-Bibliothek zur Verschlüsselung von Internetverbindungen.
Die weit verbreiteten Router-Modelle der Fritzbox-Serie von AVM sind vom Heartbleed Bug nicht betroffen. Die Fritzbox-Router und auch die Fritz WLAN Repeatern verwenden OpenSSL 0.9.8 und diese Version ist von der Sicherheitslücke nicht betroffen. (ph/com!)