Erinnerungen an Heartbleed: Neue kritische Sicherheitslücke in OpenSSL

Die aktuellen Versionen von OpenSSL haben eine kritische Sicherheitslücke, die so rasch wie möglich gepatcht werden muss. Das OpenSSL-Projekt stellt am heutigen Dienstag die Version 3.0.7 zur Verfügung, mit der man das Problem sofort beseitigen sollte.

OpenSSL macht es möglich, sichere Transport Layer Security (TLS) unter Linux, Unix, Windows und vielen anderen Betriebssystemen zu verwenden. OpenSSL hatte zuletzt im Jahr 2014 eine kritische Sicherheitslücke, die unter dem Namen „Heartbleed“ bekannt wurde. Vom Heartbleed-Bug, der letzten großen SIcherheitslücke in OpenSSL, waren laut Schätzungen bis zu zwei Drittel aller Websites im Netz betroffen.

Heartbleed ermöglichte es Angreifer*innen, sich unbemerkt in gesicherte Verbindungen zwischen Servern und Nutzer*innen einzuhängen oder Daten von Servern unbemerkt abzuschöpfen. Betroffen waren sehr viele Angebote, von sozialen Medien über E-Mail-Services bis hin zu E-Banking-Seiten sowie kritische Infrastruktur.

Was wann zu tun ist

Das Update der Version 3 soll heute laut CERT.at zwischen 13:00 und 17:00 (UTC) erscheinen und laut der Ankündigung mehrere Sicherheitslücken beheben, darunter eben auch jene, die als kritisch eingestuft wird. Betroffen ist OpenSSL in den Versionen 3.0.0 bis 3.0.6. Das CERT.at empfiehlt, die Version 3 so schnell wie möglich zu aktualisieren, und hofft, dass es zu keinem „Happy Shalloween“ kommen wird.

Möglicherweise wird es allerdings nicht zu einem Super-Gau der IT-Infrastruktur wie damals bei Heartbleed kommen. Denn: Im Gegensatz zu OpenSSL in den Versionen 1.x.x ist die Version 3.x.x laut CERT.at „deutlich weniger verbreitet“. Viele Linuxdistributionen setzen noch auf ältere Versionen der Bibliothek. Damit sollte die Menge an verwundbaren Systemen drastisch eingeschränkt sein.