Sicherheits-GAU in OpenSSL Sicherheits-GAU in OpenSSL - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.04.2014 Rudolf Felser/pi

Sicherheits-GAU in OpenSSL

Die Sicherheitslücke ist in der Heartbeat-Funktion der Online-Bibliothek. Sie ist für den Status-Austausch verantwortlich, mit dem festgestellt wird, ob der Kommunikationspartner noch aktiv ist.

Sicherheitslücke in der Verschlüsselungsbibliothek kommt einem Super-GAU gleich.

Sicherheitslücke in der Verschlüsselungsbibliothek kommt einem Super-GAU gleich.

© PSW GROUP

OpenSSL ist zur Absicherung von Datenübermittlungen im Internet weit verbreitet. Es kommt auf Webservern, in der E-Mail-Kommunikation, bei VPN und anderen Diensten zum Einsatz. Nun ist eine gravierende Sicherheitslücke in der Verschlüsselungsbibliothek aufgedeckt worden, über die Angreifer die Schlüssel auslesen, die Verschlüsselung aushebeln und die vermeintlich gesicherte Kommunikation kompromittieren können.

"Für OpenSSL-Anwender ist damit der Super-GAU eingetreten. Passwörter, Daten und ganze Kommunikationsvorgänge drohen in die Hände unbefugter Dritter zu fallen. Zumal die Sicherheitslücke einfach auszunutzen ist. Wir raten daher unbedingt zu einem Upgrade auf die nächsthöhere Version", erklärt Christian Heutger, Geschäftsführer der PSW GROUP. Der deutsche SSL-Pionier bietet seinen Kunden angesichts dessen den schnellen Umtausch betroffener OpenSSL-basierender Zertifikate an.

Die jüngste Sicherheitslücke befindet sich in der Heartbeat-Funktion der Online-Bibliothek. Sie ist für den Status-Austausch verantwortlich, mit dem festgestellt wird, ob der Kommunikationspartner noch aktiv ist. Da der Speicherzugriff nicht überprüft wird, ist es Angreifern möglich, eine Datenmenge von bis zu 64 Kilobyte von der Gegenseite auszulesen. Betroffen sind alle Versionen von OpenSSL 1.0.1 mit Ausnahme der neusten Version OpenSSL 1.0.1g, die den ursächlichen Programmierfehler nicht mehr enthält.

Für den PSW-Geschäftsführer und Verschlüsselungsexperten Christian Heutger ist dieser Vorfall ein weiterer Beleg für die Notwendigkeit des Einsatzes von Perfect Forward Secrecy: Die SSL-Zusatzfunktion verhindert, dass bereits abgeschlossene aber verschlüsselt aufgezeichnete Kommunikation durch nachträgliches Bekanntwerden des privaten Schlüssels kompromittiert wird. "Im konkreten Fall wären die per OpenSSL verschlüsselten Daten demnach trotz der Sicherheitslücke weiterhin sicher. Sie könnten von Angreifern, die die Schwachstelle ausnutzen, um in den Besitz des Private Key zu kommen, nicht entschlüsselt werden", erläutert Christian Heutger. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr

Hosted by:    Security Monitoring by: