OpenSSL Sicherheitslücke (Heartbleed)

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • OpenSSL Sicherheitslücke (Heartbleed)

      Heute wurde mal wieder eine Sicherheitslücke in OpenSSL entdeckt, bekannt gegeben und gefixt. Diesmal ist die Sicherheitslücke allerdings nicht ganz so unbedeutend. In bestimmten Versionen lassen sich Zugangsdaten auslesen. Heise hat dies wie folgt beschrieben:
      Über einen Heartbeat tauschen Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen, heißt es im Security Advisory von OpenSSL. Laut der Beschreibung der Entdecker gelang es in Tests auf diesem Weg die geheimen Schlüssel eines Server-Zertifikats, Usernamen, Passwörter und auch verschlüsselte übertragenen Daten wie E-Mails zu stehlen. Und das alles ohne irgendwelche Spuren auf dem Server zu hinterlassen.

      Quelle

      Der cmace Server ist selbstverständlich schon aktualisiert worden und damit nicht mehr vom Bug betroffen.
      Allerdings sind Yahoo und Flickr nicht ganz so schnell. Wer dort einen Account besitzt, sollte hoffen, dass die Zugangsdaten nicht von Hackern ermittelt werden. Über Twitter zeigte bereits jemand, dass man die Zugangsdaten noch relativ einfach absammeln kann: twitter.com/WarrenGuy/status/453510021930680320