Äusserst kritische Lücke in Open-SSL bekannt geworden
Die Entwickler der weit verbreiteten Verschlüsselungsbibliothek Open-SSL haben ein Update veröffentlicht, um eine gestern bekannt gewordene Sicherheitslücke zu patchen: Ein Programmierfehler erlaubt es jedem Angreifer, den Speicher des Webservers auszulesen. Dabei können Schlüssel, Passwörter und andere geheime Daten gestohlen oder manipuliert werden. Die Entdecker der Lücke sprechen vom Heartbleed Bug, weil der Fehler in der sogenannten Heartbeat-Funktion gefunden wurde.
Die Lücke gilt als äusserst kritisch, denn alle vertraulichen Daten, die über den betroffenen Server gelaufen sind, sind potentiell kompromittiert und damit nicht mehr als sicher zu betrachten. In dem durch die Lücke abrufbaren Speicherbereich können sich Klartext-Zugangsdaten befinden, Sitzungs-IDs oder sogar private Schlüssel, die der Server zur Verschlüsselung der SSL-Kommunikation benutzt.
Dringender Handlungsbedarf
Erste Fälle von Missbrauch sind bekannt. Wer also einen Server betreibt, auf dem eine verwundbare Open-SSL Version mit aktiver Heartbeat-Funktion läuft, muss zuerst einmal die Open-SSL Version auf den aktuellen Stand bringen und anschließend alle auf dem Server genutzten Private Keys und Zertifikate erneuern.
Wenn Sie nicht sicher sind, ob Ihre Server betroffen sind, kontaktieren Sie uns, wir klären die Situation mit Ihnen. Betroffene Kunden, deren Systeme wir lückenlos per Montoring überwachen, kontaktieren wir selbstverständlich direkt.
