#Audit

Heartbleed – nicht bloß irgendeine Sicherheitslücke

von , 12.4.14

Unter dem Codenamen Heartbleed (Herzbluten) wurde am 8. April eine kritische Sicherheitslücke in OpenSSL bekannt. OpenSSL ist nun nicht irgendeine Software, bei der man mal eben den Fehler behebt, und dann ist alles wieder gut. Diese Software-Bibliothek ist eine sehr häufig genutzte Implementierung der Verschlüsselungsstandards SSL/TLS, das heißt, überall, wo mit Hilfe dieser Bibliothek Daten verschlüsselt werden, besteht eine Sicherheitslücke – und keine kleine.

Durch den Fehler sind alle Unter-Versionen von Version 1.0.1 außer der jetzt gefixten Version 1.0.1g angreifbar. Nicht betroffen ist die Version 0.9.8, die von älteren Distributionsversionen von Linux und auch BSD eingesetzt wird. Diese älteren Distributionen sind auf Produktivservern teilweise noch im Einsatz.

Betroffen sind praktisch alle Internet-Nutzer, denn OpenSSL wird tatsächlich fast überall eingesetzt: bei Banken, auf Websites der öffentlichen Verwaltung, in Social-Media-Diensten, in Foren, für Blogs, für Web-Logins aller Art incl. Webmail, für den verschlüsselten E-Mail-Austausch (sowohl vom Nutzer vom/zum Server als auch zwischen den Mailservern), für Shells, für Instant Messaging, Chats usw.

 

Was bedeutet die Sicherheitslücke genau?

Zunächst einmal: Es handelt sich hier nicht um einen Fehler im Standard selbst, sondern definitiv um einen Fehler in der Implementierung OpenSSL, also um einen Programmierfehler.

Auf heartbleed.com wird berichtet, daß es auf betroffenen Systemen relativ leicht möglich ist, die Verschlüsselung zu knacken und spurlos – also nicht nachweisbar – Daten wie Usernamen und Paßwörter, Instant Messages, E-Mails sowie eigentlich besonders geschützte interne Dokumente abzugreifen.

Mit einem Update ist es also nicht getan:

  • Nicht öffentliche Dokumente sollten ggf. vorübergehend von betroffenen Servern entfernt werden, bis das Update installiert ist
  • Nach dem Update müssen alle Zugangspaßwörter zu Diensten geändert werden, die via OpenSSL geschützt werden, also zum Beispiel:
  • Webdienste und -anwendungen mit Zugang wie WordPress, Joomla!, Drupal, StatusNet/GNUsocial, etc.
  • Zugangspasswörter zu Mail-Postfächern, sowohl für POP3 und IMAP, als auch für Webmail
  • Zugangsdaten zu OpenVPN oder anderen Proxys und gesicherten Tunnels
  • Passwörter und Keys für Shellzugänge
  • XMPP/Jabber-Server.
  • Auch die Server-Zertifikate für SSL/TLS-gesicherte Dienste müssen nach dem Update ausgetauscht werden.

 
Anwender, die Client-Zertifikate nutzen oder über ihren Internet-Zugang verschlüsselte Dienste anbieten (beispielsweise Webapplikationen oder Shellzugänge), sollten ebenfalls das Update installieren und danach ihre Zertifikate, Passwörter etc. erneuern, sofern der Zugang zu ihren Diensten irgendetwas mit OpenSSL zu tun hat.

Bis zur Verfügbarkeit des Updates in der jeweils eingesetzten Betriebssystemdistribution ist es sinnvoll, diese Dienste nach außen zu deaktivieren, sofern das irgendwie möglich ist.

Wer sich das zutraut, kann OpenSSL 1.0.1g auch selbst aus den Sources kompilieren und damit den eigenen Server oder Heimrechner absichern.
 

Was vor dem jeweiligen Update auf betroffene Systeme oder von betroffenen Systemen übertragen wird, ist als unverschlüsselt anzusehen!

Crosspost von Nerd4U
 
Siehe auch

  • Felix von Leitner alias Fefe: Rohfassung eines FAZ-Artikels zum Thema
  • Ebenfalls von Fefe ein kurzer Hintergrundtext auf seinem Blog, wie es überhaupt zu solchen schwerwiegenden Fehlern kommen kann
  • xkcd hat das Ganze grafisch umgesetzt. ,)

Zustimmung, Kritik oder Anmerkungen? Kommentare und Diskussionen zu den Beiträgen auf CARTA finden sich auf Twitter und auf Facebook.