Fataler Bug in OpenSSL Update
Ein schwerwiegender Programmierfehler gefährdet die Verschlüsselung der mit OpenSSL gesicherten Internetverbindungen. Geschehen ist der Fehler im Rahmen eines Updates.
Die Entwickler von OpenSSL haben ein Update ihrer weit verbreiteten Verschlüsselungsbibliothek veröffentlicht. Fatalerweise schlich sich dabei ein massiver Fehler ein, wie heise.de und arstechnica berichteten. Aufgrund eines Programmierfehlers erlaubt das Update es nämlich jedem Kommunikationspartner, den Speicher der Gegenstelle auszulesen. Mögliche Angreifer können somit zum Beispiel Schlüssel oder Passwörter stehlen.
Gefunden wurde der Fehler in der Heartbeat-Funktion. Über einen Heartbeat tauschen Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung eines Speicherzugriffs könne ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen. Und dies alles, ohne Spuren auf dem Server zu hinterlassen.
In erster Linie betroffen seien alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen, das heisst nebst Web-Servern auch solche für E-Mail oder VPN. Die Version OpenSSL 1.0.1g enthalte den Fehler nicht mehr, heisst es bei den Quellen.
Weitere Informationen und Details zum Thema finden sich auf der Website heartbleed.com.
ISC2 schraubt an seinen Security-Zertifizierungen
Vermeintliche KI-Trader locken in die Phishing-Falle
Intelligente Lösungen für den globalen Erfolg von KMUs mit ASUS Business
Sorba besetzt CEO-Posten
Zu viele Provider? Zeit für Konsolidierung.
In Lenovos KI-Chatbot klafft eine kritische Sicherheitslücke
DACH-Region führt bei Cyberversicherungen und Ransomware-Angriffen
Tribuna V4 – die effiziente und zukunftssichere Fachlösung für die Organe der Justiz
Bundesrat verlängert Aufbewahrungspflicht für Daten zu E-Signaturen
