Kritische Lücke in OpenSSL: „heartbleed“

Dienstag, 8. April 2014

Unter dem Codenamen „Heartbleed“ (Herzbluten) wurde gerade eine kritische Sicherheitslücke in OpenSSL veröffentlicht. OpenSSL ist nun nicht irgendeine Software, bei der man eben den Fehler behebt und dann ist alles wieder gut. Diese Software-Bibliothek ist eine sehr häufig genutzte Implementierung der Verschlüsselungsstandards SSL/TLS, das heißt, überall, wo mit Hilfe dieser Bibliothek Daten verschlüsselt werden, besteht eine Sicherheitslücke – und keine kleine.

Durch den Fehler sind alle Unter-Versionen von Version 1.0.1 außer der jetzt gefixten Version 1.0.1g angreifbar. Nicht betroffen ist die Version 0.9.8, die beispielsweise von Debian GNU/Linux Squeeze („oldstable“ oder Version 6) eingesetzt wird, so wie das auf diesem Server noch der Fall ist. (mehr …)