Das OpenSSL-Projekt hat Aktualisierungen für seine gleichnamige Verschlüsselungssoftware für kommenden Donnerstag angekündigt. Demnach beheben die Versionen 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf mehrere Schwachstellen. Mindestens eine davon wird mit der höchsten Bewertung für mögliche Risiken bei Fehlern eingestuft.
Auf Twitter spekulieren bereits einige Sicherheitsforscher über die Schwere des Fehlers. Sie hoffen – und mit ihnen wahrscheinlich alle Administratoren von Servern, die OpenSSL nutzen – , dass die entdeckte Lücke nicht so schwerwiegend ist wie die vor etwa einem Jahr entdeckte Schwachstelle, die unter dem Namen Heartbleed auch einer größeren Öffentlichkeit bekannt geworden ist. Offiziell trug die Sicherheitslücke die Kennung CVE-2014-0160.
Heartbleed wurde von der Sicherheitsfirma Codenomicon und Google-Forscher Neel Mehta entdeckt. Durch die Schwachstelle konnten Angreifer auf den flüchtigen Speicher eines Webservers zugreifen, wodurch beispielsweise das Auslesen von Nutzernamen und Passwörter von Usern möglich war. Millionen von Servern waren von dem Fehler betroffen. Selbst zwei Monate nach Bereitstellung von fehlerberinigten OpenSSL-Varianten waren noch etwa 300.000 Server von der Schwachstelle betroffen.
Hierzulande mussten beispielsweise die großen E-Mail-Provider ihre Server aktualisieren. Innerhalb weniger Tage gelang dies, sodass die Gefahr durch Heartbleed relativ schnell gebannt war. Nutzern wurde trotzdem empfohlen, ihre Passwörter für Server betroffener Dienste zu wechseln.
In Kritik geriet der amerikansiche Geheimdienst NSA, dem vorgeworfen wurde, die Heartbleed-Lücke für Spionagezwecke ausgenutzt zu haben. Ein hochrangiger Beamter des Weißen Hauses dementierte dies in einem Blogeintrag, räumte aber das Zurückhalten einzelner Schwachstellen ein.
Um derartige schwere Fehler zukünftig zu vermeiden, hat das OpenSSL-Projekt beschlossen, zukünftigen Programm-Code von unabhängigen Spezialisten prüfen zu lassen. Vor wenigen Tagen wurde bekannt, dass das sogenannte „Code Audit“ durch die angesehene Sicherheitsfirma NCC Group durchgeführt wird.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
4 Kommentare zu Schwere Sicherheitslücke in OpenSSL entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Startet dieser Audit wirklich erst jetzt im März 2015, also fast ein ganzes Jahr nach dem Heartbleed Super GAU, oder wurde es nur jetzt bekanntgegeben?
Es wäre doch fatal, alle Lücken auf einmal zu veröffentlichen; was wollte man denn morgen in den Medien berichten?
Auch muss man den Geheimdiensten doch auch die Gelegenheit geben, sich von einem Lückenweg auf einen neuen umzustellen. Nachdem die NSA diese Lücke nun auch freigegeben hat, darf auch die veröffentlicht werden.
Ach und wie war das noch mit …
Ist eine schöne Ankündigung aber wo ist der Inhalt? Ohne CVE oder eine andere gute Beschreibung kann man das nicht bewerten. Dass die Kameraden das als bis zu „High“ bewerten, ist zwar ein Anhaltspunkt aber mehr auch nicht. Ohne Information, worum es dabei geht ist das nicht mehr als ein Fülltext.
Auch ob das bei einem Audit herausgekommen ist, steht da auch nicht. Möglicher Zusammenhang. Wenn ja, dann ist der Audit wenigstens sein Geld wert. Ich weiss auch nicht, wie schnell man als Open Source Projekt einen guten Auditor bekommen kann.
Und wenn es keine CVE gibt?
Auf http://www.openssl.org gehen und Security Advisory lesen.
Alles andere ist irgendwo mal interpretiert worden!