Kritische Lücke in OpenSSL: „heartbleed“

8. April 2014 um 1:14 Uhr von Sabine Becker

Unter dem Codenamen „Heartbleed“ (Herzbluten) wurde gerade eine kritische Sicherheitslücke in OpenSSL veröffentlicht. OpenSSL ist nun nicht irgendeine Software, bei der man eben den Fehler behebt und dann ist alles wieder gut. Diese Software-Bibliothek ist eine sehr häufig genutzte Implementierung der Verschlüsselungsstandards SSL/TLS, das heißt, überall, wo mit Hilfe dieser Bibliothek Daten verschlüsselt werden, besteht eine Sicherheitslücke – und keine kleine.

Durch den Fehler sind alle Unter-Versionen von Version 1.0.1 außer der jetzt gefixten Version 1.0.1g angreifbar. Nicht betroffen ist die Version 0.9.8, die beispielsweise von Debian GNU/Linux Squeeze („oldstable“ oder Version 6) eingesetzt wird, so wie das auf diesem Server noch der Fall ist.

Betroffen sind praktisch alle Internet-Nutzer, denn OpenSSL wird tatsächlich „fast überall“ eingesetzt: Bei Banken, auf Websites der öffentlichen Verwaltung, in Social-Media-Diensten, in Foren, für Blogs, für Web-Logins aller Art incl. Webmail, für den verschlüsselten E-Mail-Austausch sowohl vom Nutzer vom/zum Server als auch zwischen den Mailservern, für Shells, für Instant Messaging, Chats usw.

Was bedeutet die Sicherheitslücke genau?

Zunächst einmal: Es handelt sich hier nicht um einen Fehler im Standard selbst, sondern definitiv um einen Fehler in der Implementierung OpenSSL, also um einen Programmierfehler.

Auf heartbleed.com wird berichtet, daß es auf betroffenen Systemen relativ leicht möglich ist, die Verschlüsselung zu knacken und spurlos, also nicht nachweisbar, Daten wie Usernamen und Paßwörter, Instant Messages, E-Mails sowie eigentlich besonders geschützte interne Dokumente abzugreifen. Mit dem Update ist es also nicht getan:

  • Nicht öffentliche Dokumente sollten ggf. vorübergehend von betroffenen Servern entfernt werden, bis das Update installiert ist.
  • Nach dem Update müssen alle Zugangspaßwörter zu Diensten geändert werden, die via OpenSSL geschützt werden, also zum Beispiel:
    • Webdienste und -anwendungen mit Zugang wie WordPress, Joomla!, Drupal, StatusNet/GNUsocial etc.;
    • Zugangspaßwörter zu Mailpostfächern, sowohl für POP3 und IMAP als auch für Webmail;
    • Paßwörter und Keys für Shellzugänge;
    • Zugangsdaten zu OpenVPN oder anderen Proxys und gesicherten Tunnels;
    • XMPP/Jabber-Server.
  • Auch die Server-Zertifikate für SSL/TLS-gesicherte Dienste müssen nach dem Update ausgetauscht werden.

Anwender, die Client-Zertifikate nutzen oder auch über ihren Internet-Zugang verschlüsselte Dienste anbieten (beispielsweise Webapplikationen oder Shellzugänge), sollten ebenfalls das Update installieren und danach ihre Zertifikate, Paßwörter etc. erneuern, sofern der Zugang zu ihren Diensten irgendetwas mit OpenSSL zu tun hat. Bis zur Verfügbarkeit des Updates in der eingesetzten Betriebssystemdistribution ist es sinnvoll, diese Dienste nach außen zu deaktivieren, sofern das irgendwie möglich ist.

Wer sich das zutraut, kann OpenSSL 1.0.1g auch selbst aus den Sourcen compilieren und damit den eigenen Server oder Heimrechner absichern.

Was auf betroffene Systeme oder von betroffenen Systemen vor dem Update übertragen wird, ist als unverschlüsselt anzusehen!

2 Kommentare zu “Kritische Lücke in OpenSSL: „heartbleed“”