Die Netzwerkausstatter Cisco und Juniper warnen, dass die Mehrzahl ihrer für eine Verbindung zum Web ausgelegten Geräte die schwere Sicherheitsanfälligkeit Heartbleed aufweist. Die Schwachstelle steckt in der Verschlüsselungslösung OpenSSL. Auf davon betroffenen Servern gespeicherte Passwörter, Schlüssel und Zertifikate müssen als möglicherweise kompromittiert gelten.
In einem Hinweis von Cisco sind elf Produkte und zwei Dienste als definitiv über diese Schwachstelle angreifbar ausgewiesen. 60 weitere gelten als „betroffen“; die Nachforschungen halten an. Überwiegend handelt es sich um Kollaborationswerkzeuge wie IP-Telefone und Kommunikationsserver.
Die beiden betroffenen Dienste sind Cisco Registered Envelope Service (CRES) und Webex Messenger Service. Beide wurden inzwischen gepatcht, Nutzer sollten also jetzt ihre Passwörter ändern.
Juniper hat zu Heartbleed mehrere Sicherheitshinweise veröffentlicht. Diverse seiner Produkte sind demnach anfällig, darunter alle mit JunOS 13.3R1 oder dem Client Odyssey 5.6r5 oder später.
Der für die Lücke verantwortliche Code war vor über zwei Jahren in SSL integriert worden – offenbar, um Fehler zu korrigieren. Angreifer können auf betroffenen Servern im Speicher vorgehaltene Informationen auslesen. Der Sicherheitsforscher Bruce Schneier nennt die Lücke „katastrophal„: „Auf einer Skala von 1 bis 10 ist das eine 11.“
Schneier schätzt, dass eine halbe Million Websites anfällig ist. Viele haben inzwischen Patches eingespielt, doch nun müssen alle möglicherweise ausspionierten Passwörter und Zertifikate gewechselt werden.
Noch schwieriger dürfte die Behebung bei Hardwareprodukten sein. Das hat für Juniper Sprecher Corey Olfert gegenüber dem Wall Street Journal bestätigt: „Es sieht nicht nach einer Sache aus, wo man einfach einen Schalter umlegt. Ich weiß nicht, wie schnell diese Lücken behoben werden können.“
[mit Material von Steven Musil, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Recall hilft beim Auffinden von beliebigen Dateien und Inhalten. Die neue Funktion führt Microsoft zusammen…
Es tritt auch unter Windows Server auf. Seit Installation der April-Patches treten Fehlermeldungen bei VPN-Verbindungen…
Das neue Release soll es allen Mitarbeitenden möglich machen, zur Ausgestaltung der IT beizutragen.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…