Für Heartbleed verantwortlicher Programmierer gesteht Unachtsamkeit ein

Robin Seggelmann führte den Fehler am 31. Dezember 2011 um 23.59 Uhr ein. Das hat aber ihm zufolge nichts mit der fehlenden Überprüfung der korrekten Größe eines Pakets zu tun. Dass der Fehler überhaupt bemerkt wurde, sieht er als Vorteil von Open Source.

Autor des in den letzten Tagen als Heartbleed bekannt gewordenen Fehlers in OpenSSL ist der Programmierer Robin Seggelmann. Er hat gegenüber der britischen Tageszeitung Guardian eingeräumt, „die nötige Validierung versehentlich unterlassen“ zu haben, als er den fehlerhaften Code an Silvester 2011 einführte.

OpenSSL-Bug Heartbleed

Der Programmcode war dazu gedacht, eine Funktion namens Heartbeat zu realisieren: Ein Client und ein Server übermitteln dabei zufällige Daten, um so ihre Verbindung mit Transport Layer Security (TLS) zu bestätigen. Das Problem: Wenn ein Angreifer die Paketgröße größer angibt als tatsächlich der Fall, füllt der Server das Paket mit Daten aus seinem Speicher auf, bevor er es zurückschickt.

Der Code wurde am 31. Dezember 2011 um 23.59 Uhr eingereicht. Seggelmann besteht im Interview mit dem Guardian jedoch darauf, dass dieser Zeitpunkt – eine Minute vor dem Jahreswechsel – nichts mit dem Fehler zu tun hatte.

Seggelmann kann nicht allein für Heartbleed verantwortlich gemacht werden – schließlich durchlief der OpenSSL-Code die üblichen Prüfungen durch andere Community-Mitglieder. Obwohl dabei nichts gefunden wurde, betont Seggelmann, dass das Problem überhaupt je entdeckt wurde, zeige schon den Wert von im Quellcode zugänglichen Programmen.

Die von der Sicherheitsfirma Codenomicon und Google-Forscher Neel Mehta entdeckte Sicherheitslücke in OpenSSL CVE-2014-0160 besteht seit gut zwei Jahren. Dadurch ist Zugriff auf den flüchtigen Speicher eines Webservers möglich, wodurch ein Angreifer sensible Informationen wie Zugangsdaten abgreifen könnte.

Ob die in Anlehnung an die Heartbeat-Erweiterung von TLS/DTLS (RFC 6520) genannte Heardbleed-Lücke auch tatsächlich ausgenutzt wurde, kann derzeit niemand mit Sicherheit sagen. Fest steht aber, dass OpenSSL von gut zwei Dritteln aller Webseiten, die SSL zur Verschlüsselung einsetzen, verwendet wird. Allerdings bedeutet dies nicht, dass automatisch alle Server angreifbar waren. Denn dafür muss die Heartbeat-Erweiterung auch aktiviert sein. Das trifft laut Internet-Dienstleister Netcraft auf gut 500.000 Webserver zu.

[mit Material von Rich Trenholm, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Hacker, Open Source, OpenSSL.org, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Für Heartbleed verantwortlicher Programmierer gesteht Unachtsamkeit ein

Kommentar hinzufügen
  • Am 11. April 2014 um 17:57 von Judas Ischias

    Also ich verstehe jetzt nicht, dass bei der ersten Kontrolle nichts gefunden wurde, obwohl durch andere Community-Mitglieder geprüft. Waren das nur 2 Mitglieder und die wollten schnell zur Silvester-Party und haben es deshalb an der nötigen Sorgfalt walten lassen?
    Und wieviele Leute waren denn diesmal an der Prüfung beteiligt?

  • Am 12. April 2014 um 0:03 von Ob nun ...

    …nachlässig, fahrlässig oder von der NSA gewünscht – Open Source und deren vermeintlich höhere Sicherheit werden jedenfalls damit in den Fokus gerückt.

    Was nutzt mir eine theoretische Kontrolle, wenn es praktisch keine gibt?

  • Am 13. April 2014 um 5:11 von Silvio

    Warum wird eigentlich bei jeder Lücke von Opensource Programmen gleich die komplette Gemeinde mit Dreck beworfen. Was machen andere? Wie schnell ist deren Reaktion? Es stellt sich nur eine Frage. Die Antwort muss sich jeder selber geben. Wem vertraue ich? Ich persönlich Gentoo.

    Mfg

    • Am 13. April 2014 um 11:33 von Ist ja richtig ...

      … aber nur allzuoft wird bei jedem Bug eines kommerziellen Unternehmens stakkatoartig ‚Open Source ist die Lösung‘ geschrien – und so einfach ist es eben nicht. Es kommt immer auf die Kontrollprozesse an, und wie schnell im Fehlerfall reagiert wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *