Sicherheitslücke in OpenSSL gestopft

Eine Anfang der Woche bekanntgewordene Sicherheitslücke in OpenSSL wurde von unserem Entwickler-Team durch eine Sicherheits-Update direkt nach Veröffentlichung auf allen Servern geschlossen. Durch das unter der Bezeichnung “Heartbleed” bekanntgewordene Schlupfloch ist es theoretisch möglich gewesen, den privaten Schlüssel eines SSL-Zertifikates auszulesen.

Was ist Heartbleed?

In einem Teil des Programmcodes der OpenSSL-Bibliothek, genauer der “TLS Heartbeat-Erweiterung”, war es ohne das Update durch fehlende Typen- und Bereichsprüfung des sog. Payload möglich, 64 KB des aktuell aktiven Arbeistspeichers auszulesen.

Welche Gefahr bestand bisher?

Auch wenn die Gefährdung der verschlüsselten Kommunikation als ausgesprochen hoch einzuschätzen war, hing es dennoch von einer Vielzahl Faktoren ab, ob ein Angreifer tatsächlich in den Besitz der gewünschten Informationen gelangen konnte.

Unter realen Bedingungen ist es extrem unwahrscheinlich, dass tatsächlich private Schlüssel von SSL Zertifikaten ausgelesen worden sind. Bisher sind lediglich unter “Labor-Bedingungen” einzelne Erfolge gemeldet worden. Hierzu wurden die Testsysteme jedoch jeweils neu gestartet, um den Arbeitsspeicher möglichst von anderen Zufallsdaten zu bereinigen.

Muss ich noch etwas tun?

Die Sicherheitslücke wurde durch das Update geschlossen. Somit ist eine zukünftige Gefährdung durch den Heartbleed-Bug ausgeschlossen. Selbstverständlich können Sie dennoch jederzeit die bestehenden SSL-Schlüssel austauschen lassen.

Dieser Beitrag wurde unter SSL Zertifikate abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Die Kommentarfunktion ist geschlossen.