Skip to main content

Kritischer OpenSSL-Heartbleed-Bug gefährdet verschlüsselte Kommunikation

Computersicherheit Experten empfehlen Administratoren, einen schwerwiegenden Fehler in einer Softwarebibliothek zu beheben, die von Millionen von Websites verwendet wird, um vertrauliche Kommunikation zu verschlüsseln.

Der Fehler "Heartbleed" ist in mehreren Versionen von OpenSSL enthalten, einer kryptographischen Bibliothek, die SSL (Secure Sockets Layer) oder TLS-Verschlüsselung (Transport Security Layer). Die meisten Websites verwenden entweder SSL oder TLS, was in Browsern mit einem Vorhängeschloss-Symbol angezeigt wird.

Der Fehler, der im Dezember 2011 eingeführt wurde, wurde in OpenSSL 1.0.1g behoben, das am Montag veröffentlicht wurde.

[ Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Die anfälligen Versionen von OpenSSL sind 1.0.1 bis 1.0.1f mit zwei Ausnahmen: OpenSSL 1.0.0-Zweig und 0.9.8, gemäß einer speziellen Website eingerichtet von Forscher, die das Problem gefunden haben.

Wenn der Fehler ausgenutzt wird, können Angreifer alle Informationen überwachen, die zwischen einem Benutzer und einem Webdienst ausgetauscht werden, oder sogar vergangenen Datenverkehr entschlüsseln.

"Dadurch können Angreifer die Kommunikation abhören. Daten direkt von den Diensten und Benutzern stehlen und sich als Dienste und Benutzer ausgeben ", schrieben die Forscher.

Der Fehler wurde von drei Forschern von Codenomicon, einem Computer-Sicherheitsunternehmen, und Neel Mehta, der an Sicherheit für Google arbeitet, entdeckt

Der Umfang des Problems ist groß, so viele Moder Es wird vermutet, dass Betriebssysteme eine betroffene OpenSSL-Version haben.

Betriebssysteme, die eine anfällige Version von OpenSSL haben, sind Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0. 2 und OpenSUSE 12.2 schrieben sie.

Die "Oldstable" -Versionen von Debian Squeeze und Suse Linux Enterprise Server sind nicht anfällig.

OpenSSL unterstützt auch zwei der am häufigsten verwendeten Webserver, Apache und nginx. Die Code-Bibliothek wird auch verwendet, um E-Mail-Server, Chat-Server, virtuelle private Netzwerke und andere Netzwerk-Appliances zu schützen.

Das Problem, CVE-2014-0160, ist eine Überprüfung auf fehlende Grenzen in der Handhabung der TLS-Heartbeat-Erweiterung , die dann verwendet werden kann, um nach einem anderen Advisory 64K Speicher auf einem verbundenen Server anzuzeigen.

Es ermöglicht Angreifern, die privaten Schlüssel zu erhalten, die zum Verschlüsseln des Datenverkehrs verwendet werden. Mit diesen Schlüsseln können Angreifer auch Verkehr entschlüsseln, den sie in der Vergangenheit gesammelt haben.

Die Angreifer können während einer Iteration des Angriffs nur auf 64K Speicher zugreifen, aber die Angreifer können "immer wieder verbinden oder während eines aktiven Die TLS-Verbindung verlangt eine beliebige Anzahl von 64 Kilobyte-Chunks Speicherinhalt, bis genügend Geheimnisse aufgedeckt sind ", so die Webseite.

Es ist unklar, ob Angreifer den Fehler in den letzten zwei Jahren ausgenutzt haben . Aber Angriffe, die den Fehler verwenden, "hinterlassen keine Spuren von abnormalen Ereignissen in den Protokollen", schrieben die Forscher.

Administratoren wird empfohlen, die aktuelle Version von SSL anzuwenden, kompromittierte Schlüssel zu widerrufen und neue Schlüssel erneut auszugeben