News
09.04.2014 21:37
Selbst SSL ist nicht mehr sicher
© www.Friedrich-Webdesign.de
Manch einer hat es sicherlich schon mitbekommen: Es gibt eine schwere Sicherheitslücke in den Versionen 1.0.1 bis 1.0.1f der Open-Source-Bibliothek OpenSSL.
Durch diese Sicherheitslücke kann ein Angreifer in 64kB-Schritten den Speicher des betroffenen Systems auslesen. Auf diese Weise gelangt der Angreifer auch an Passwörter und möglicherweise sogar an den Private-Key von Server-Zertifikaten. Mit diesem wäre es möglich, nicht nur sämtlichen per SSL veschlüsselten Live-Datenverkehr, sondern teilweise sogar zuvor mitgeschnittenen Datenverkehr nachträglich zu entschlüsseln.
Davon betroffen sind viele gängige Webserver, aber auch Mailserver, Datenbankserver, VPN-Server und weitere. Halt alles, was per SSL verschlüsselt ist.
Für die meisten Systeme wurden bereits Sicherheitsupdates veröffentlicht. Diese müssen jedoch auch zeitnah von den verantwortlichen Server-Administratoren eingespielt werden.
Dieser Fall zeigt einmal mehr, dass es im Internet keine 100%-ige Sicherheit gibt. Man kann nur alles dafür tun, das Risiko so weit wie möglich zu reduzieren.
Quellen:
heartbleed.com
Heise
openssl.org