Erneut gravierende Schwachstelle in OpenSSL gefunden

Rainer Schneider,
Sicherheit
Open SSL Logo (Bild: OpenSSL Projekt)

Das OpenSSL-Projekt hat Updates für seine gleichnamige Verschlüsselungssoftware für kommenden Donnerstag bekannt gegeben. Grund dafür sind offenbar mehrere Sicherheitslücken, die mit den Versionen 1.0.2a, 1.0.1m, 1.0.0r und 0.9.8zf geschlossen werden sollen. Mindestens eine der Schwachstellen wird mit der höchsten Bewertung für potenzielle Risiken bei Fehlern klassifiziert.

Open SSL Logo (Bild: OpenSSL Project)

Einige Sicherheitsforscher mutmaßen auf Twitter schon über die Schwere der Lücke. Nicht nur sie, sondern wahrscheinlich auch alle Server-Administratoren, die OpenSSL einsetzen, hoffen, dass die entdeckte Anfälligkeit nicht so gravierend ist wie die vor rund einem Jahr gefundene Schwachstelle, die unter dem Namen Heartbleed Schlagzeilen gemacht hat. Die offizielle Kennung der Sicherheitslücke war damals CVE-2014-0160.

Heartbleed wurde durch das Sicherheitsunternehmen Codenomicon sowie den Google-Forscher Neel Mehta entdeckt. Aufgrund der Anfälligkeit konnten Angreifer auf den flüchtigen Speicher eines Webservers zugreifen. Dadurch war etwa das Auslesen von Anwendernamen und -Passwörtern möglich. Millionen von Servern waren von der Lücke betroffen. Selbst zwei Monate nach der Bereitstellung von fehlerbereinigten OpenSSL-Fassungen waren noch rund 300.000 Server von der Anfälligkeit betroffen.

In Deutschland mussten beispielsweise die großen E-Mail-Anbieter ihre Server aktualisieren. Das gelang dann auch innerhalb weniger Tage, sodass die Bedrohung durch Heartbleed relativ schnell gebannt war. Anwendern wurde dennoch geraten, ihre Passwörter für Server betroffener Dienste zu ändern.

Ferner geriet der amerikanische Geheimdienst NSA (National Security Agency) in die Kritik. Ihm wurde vorgeworfen, den Heartbleed-Bug für Ausspähzwecke verwendet zu haben. Ein hochrangiger Beamter des Weißen Hauses wies dies in einem Blogbeitrag damals zwar zurück, räumte dafür jedoch das Zurückhalten einzelner Sicherheitslücken ein.

Um derartige schwere Anfälligkeiten in Zukunft zu vermeiden, hat das OpenSSL-Projekt beschlossen, zukünftig entwickelten Programm-Code von unabhängigen Experten untersuchen zu lassen. Vor wenigen Tagen wurde bekannt, dass das sogenannte “Code Audit” durch das renommierte Sicherheitsunternehmen NCC Group durchgeführt wird.

[mit Material von Kai Schmerer, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :

NSA-Tools: Cisco und Fortinet bestätigen Sicherheitslücken

Kaspersky: NSA-Hackingtools sind echt

Privat genutzte Rechner für NSA wichtiger als Zero-Day-Lücken
Rainer Schneider
Autor: Rainer Schneider
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen