Heartbleed: OpenSSL-Bug betriffft mehr Systeme als erwartet

Als vor wenigen Tagen die Nachricht über die Schwachstelle und Sicherheitslücke „Heartbleed“ bekannt wurde, haben vermutlich viele der Leser gedacht „Dieser Bug betrifft uns doch nicht.“. Weit gefehlt.

Die Sicherheitslücke steckt in einem Modul des Verschlüsselungsdienstes OpenSSL. Wer sich mit dem Thema detaillierter befasst, wird schnell feststellen, dass OpenSSL eine freie Software-Bibliothek für Transport Layer Security (TLS) ist und in einer Vielzahl von Anwendungen – auch weit verbreiteten Appliances – eingebunden ist. Und genau dadurch betrifft es dann doch wieder eine große Zahl von Unternehmen.

OpenSSL umfasst auch Implementierungen verschiedener Verschlüsselungen. Welche Bereiche sind berührt?

• Web- und Mail-Server
• Virtual Private Networks
• Appliances wie z.B. Router

Sehr häufig wird diese Bibliothek für TLS/SSL-Verbindungen genutzt. Die Schwachstelle ist ziemlich genau lokalisierbar. Die Bibliothek enthält die genannte Sicherheitslücke in Ihren Versionen 1.0.1 bis 1.0.1f. 

Wie ist der aktuelle News-Stand in Sachen Heartbleed?

Für alle, die tageaktuell mitlesen möchten, empfehlen wir den Newsfeed von heise.de.

Wo stecken die Risiken der Sicherheitslücke „Heartbleed“?

Über die Sicherheitslücke wird ein Angreifer in die Lage versetzt, Daten aus einem OpenSSL-Server, welcher die Heartbeat-Erweiterung nutzt, auszulesen. Solche Daten können Speicherinhalte und zum Beispiel Schlüssel des Servers sein. Und genau hier beginnt die Sache, kritisch zu werden. „Kritisch“ ist auch die Einstufung, welche die Sicherheitslücke erhalten hat.

Gibt es Patches für OpenSSL?

Zwischenzeitlich steht mit OpenSSL Version 1.0.1g ein erstes Update ( openssl-1.0.1g.tar.gz ) bereit. Das Einspielen desselben sollte zeitnah erfolgen. Wer sich nicht sicher ist, wie er mit seinen Appliances verfahren soll, wendet sich am Besten an unseren Support (06131 / 36 80 51). Eine Überprüfung Ihres Servers, der über öffentlich zugängliche Netze erreichbar ist, bieten wir Ihnen für eine Pauschale von 200 Euro zzgl. MwSt. ( = 238 Euro incl. MwSt. ) an. Im Anschluss an diese Überprüfung geben wir Ihnen Handlungsvorschläge für ein weiteres zielführendes Vorgehen an.