Digital Life
09.07.2015

Neuer Fehler in OpenSSL weckt Heartbleed-Erinnerungen

Das OpenSSL-Projektteam hat die Existenz einer neuen, schweren Sicherheitslücke in seiner Open-Source-Verschlüsselungstechnologie bestätigt. Neue Updates beheben das Problem.

In einer Aussendung fordern die Entwickler von OpenSSL Nutzer der Software auf, neu bereitgestellte Versionen der Verschlüsselungstechnologie herunterzuladen (die software gibt es hier). Die Sicherheitslücke, die für das Problem verantwortlich ist, wird von den Entwicklern als schwerwigend eingestuft. Betroffen sind die OpenSSL-Versionen 1.0.1n, 1.0.1o, 1.0.2b und 1.0.2c. Nutzer von 1.0.1n und 1.0.1o sollten auf 1.0.1p wechseln, wer 1.0.2b oder 1.0.2c nutzt, ist aufgerufen 1.0.2d zu installieren. Nicht betroffen sind die Varianten 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o.

Fehler im "Plan B"

Details zur Sicherheitslücke haben die Entwickler noch nicht bekanntgegeben. Es scheint sich aber um einen Fehler im "Plan B" von OpenSSL zu handeln, der in Kraft tritt wenn die Verifizierung eines Zertifikats im ersten Versuch fehlschlägt. Dabei können Angreifer durch den Fehler Kontrollmechanismen umgehen. Die Lücke wurde am 24. Juni gemeldet, die Updates sind seit Donnerstag verfügbar. Als "High Severity" werden nur schwere Fehler eingestuft, die etwa Denial-of-Service-Angriffe erlauben, zu Speicherlecks führen oder das Ausführen von Fremdcode erlauben.

OpenSSL kommt auf Open-Source-Servern, bei der Verschlüsselung von E-Mails oder Instant-Messengern zum Einsatz. Vom Heartbleed-Fehler, der letzten großen SIcherheitslücke in OpenSSL, waren laut Schätzungen bis zu zwei Drittel aller Homepages im Netz betroffen. Heartbleed war 2014 entdeckt worden und ist immer noch nicht allerorts behoben. Wie schlimm die neue Lücke ist, kann erst beurteilt werden, wenn die OpenSSL-Experten weitere Informationen zugänglich machen.