[Netzwelt] Massive Sicherheitslücke in OpenSSL

Ein Sicherheitsdefekt erlaubt es Unbefugten, Informationen zwischen dem Nutzer und der Gegenstelle auszulesen. Alle OpenSSL-Versionen, die seit dem Dezember 2011 veröffentlicht wurden, sind betroffen. Datenübermittlungen via SSL oder TLS gilt bis zum einspielen eines entsprechenden Patches nicht mehr als sicher. Da auf diesem Weg auch Schlüssel und Passwörter ausgelesen werden können, ist es möglich, komplett die Accounts der jeweiligen Dienste zu übernehmen.

Entdeckt wurde das Problem von Sicherheitsforschern der Firma Codenomicon und Neel Mehta aus dem Security-Team von Google.


Quelle: Winfuture
Sonderseite: http://heartbleed.com/

 

[NbN]

Ein Horrorbug. Jeder Serverbetreiber muss da sofort handeln. Dienste neu starten ist auch angeraten. In Debian stable (Wheezy) ist das Paket übrigens schon korrigiert. Oldstable (Squeeze) ist nicht betroffen.

 

[TheOnly1]

Tja...miese Geschichte...in der Tat.

 

[TRON2]

Wenn das die NSA gewusst hätte?

 

[Abul]

Wohl eher, wie lange haben die davon schon gewusst?

 

[TheOnly1]

Wohl noch eher: Wann hat die NSA diesen "Bug" implementiert?

 

[thom53281]

Oldstable (Squeeze) ist nicht betroffen.

Und wieder mal hat sich gut abgehangene Software als beste Wahl für wichtige/kritische Einsatzzwecke herausgestellt. Schön ist aber auch, dass Debian wieder mal seine Hausaufgaben sehr schnell gemacht hat, so wie ich das gerade ebenfalls getan habe.


Grüße
Thomas

 

[mathmos]

Und wieder mal hat sich gut abgehangene Software als beste Wahl für wichtige/kritische Einsatzzwecke herausgestellt.

Eine Garantie ist das aber auch nicht. Die Lücke an sich existiert ja schon seit Ende 2011. Da könnte man schon fast von abgehangen sprechen.

 

[MingsPing]

Ich verstehe auch nicht, wieso das niemandem aufgefallen ist. Schließlich ist das doch eine quelloffene Software?

 

[TheOnly1]

Tja...das ist der Mythos der "sicheren Software" nur weil der Source offen ist.
Um vor solchen Bugs oder absichtlichen Hintertürchen unter dem Argument "quelloffen" wirklich sicher zu sein, muss ja irgendjemand mit wirklich viel Ahnung den ganzen Code Zeile für Zeile auseinander nehmen.
Jeder denkt dann: Irgendwer, wird das mit Sicherheit irgendwann mal irgendwo gemacht haben.

Ob und wie häufig das aber tatsächlich passiert...nun ja...wer weiß das schon?

 

[mathmos]

@MingsPing:

Quelloffen bedeutet ja nicht zwangsweise, dass jemand alle paar Monate den Code durchkämmt. Der Vorteil an OSS ist aber, dass es prinzipiell jeder machen könnte. Bei CSS tappt man vollkommen im Dunklen.

 

[accC]

Ich verstehe auch nicht, wieso das niemandem aufgefallen ist. Schließlich ist das doch eine quelloffene Software?

Das was die Vorposter sagen. Nur weil die Software quelloffen ist, heißt das nicht, dass deshalb jede Zeile davon von jedem gelesen wird.
Selbst wenn da mal jemand drüber liest, wird er nicht zwangsweise einen tiefer sitzenden Logikfehler erkennen.

 

[Larius]

@accC: Dann verstehe ich es aber nicht warum bei sowas "kritischen" wie OpenSSL nicht Unittests verwendet werden. Damit wäre das aufgefallen schon allein wenn ich eine Grenzwertanalyse fahre - String hat 3 Zeichen? Dann nehme ich als mögliche Länge -1, 0, 2, 3 und 4. Wenn mir schon bei 4 auffällt das ich 4 Zeichen zurückbekomme und nicht 3 dann hats da was.

 

[alter_Bekannter]

Nachher ist man immer schlauer, aber das zeigt auch mal wieder das Debian Oldstable doch was bringt., wann gabs da das letzte mal was wirklich relevantes?

Diesen USB Gerätenamen Blödsinn zähl ich nicht weil man dafür Hardwarezugriff braucht und ab da wirds lächerlich denn durch Geräte anstecken kompromittieren geht immer. Tastatur ran und im Single User mode starten, Tada!

Oder Baseball Schläger Denial Of Service, man geht zum Rack und prügelt mit besagtem Sportgerät darauf ein.

 

[TRON2]

Update:
Wie der Spiegel schreibt, ist "Heartbleed" eine der größten Sicherheitslücken in der Geschichte des Internets. Die Schwachstelle sei regelmäßig verwendet worden, um an "kritische" Erkenntnisse zu gelangen, heißt es. Wie Bloomberg unter Berufung auf zwei mit den Hintergründen vertraute Quellen berichtet, soll die NSA bereits seit mindestens zwei Jahren von dem Defekt wissen.

http://www.bloomberg.com/news/2014-...e-used-heartbleed-bug-exposing-consumers.html

 

[Hector]

@TheOnly1:
Nix NSA. Das war damals ein deutscher Student, der jetzt bei T-Systems arbeitet (hurrrrr...T-Systems arbeitet mit dem BND zusammen...!!!! DAS WAR ABSICHT!!!")

Ne. ^^ Aber in der Haut dieses Kerls möcht ich grad nicht stecken.

Btw, eine Erklärung des Bugs für weniger IT-Bewanderte:

 

[TBow]

@TheOnly1:
Nix NSA. Das war damals ein deutscher Student, der jetzt bei T-Systems arbeitet ...

Hat er auch nicht behauptet, sondern Quellen sprechen davon, dass die NSA die Lücke seit 2 Jahren kannte, sie ausnutzte, aber keinen davon informierte. So war es (anderen) Kriminellen wahrscheinlich möglich, Schaden zu verursachen. Das ist ein sehr schwerer Vorwurf, da die NSA immer betonte die Bürger zu schützen. Darum fällt deren Dementi auch so scharf aus. Die NSA hat natürlich erst aus den Medien davon efahren. Da wird es wohl nur eine handvoll Leichtgläubige auf der Welt geben, die das für bare Münze nehmen werden. Angie wird offiziell eine von denen sein.

 

[alter_Bekannter]

Betrifft die Lücke eigentlich NGB? Wunder mich das es bislang weder gefragt noch widerlegt wurde.

 

[thom53281]

http://filippo.io/Heartbleed/#ngb.to




Grüße
Thomas

 

[Abul]

Da wird doch nur der Ist-Zustand angezeigt, oder?