Fakten und Hintergründe zur OpenSSL-Lücke

Gegenmaßnahmen zur Heartbleed-Sicherheitslücke für Admins

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Ein Angriff auf die Heartbleed-Sicherheitslücke lässt sich aktuell nicht blocken, außer es werden alle Heartbeat-Verbindungen abgelehnt. Admins können allerdings ihre IDS/IPS-Systeme auf das OpenSSL Heartbeat Request trainieren. Wenn sich die Größe von Anfrage und Antwort deutlich unterscheiden, könnte ein Angriff vorliegen.
Ein Angriff auf die Heartbleed-Sicherheitslücke lässt sich aktuell nicht blocken, außer es werden alle Heartbeat-Verbindungen abgelehnt. Admins können allerdings ihre IDS/IPS-Systeme auf das OpenSSL Heartbeat Request trainieren. Wenn sich die Größe von Anfrage und Antwort deutlich unterscheiden, könnte ein Angriff vorliegen. (Bild: Alexandr Mitiuc - Fotolia.com, Codenomicon)

In OpenSSL steckt eine kritische Sicherheitslücke, die Angreifern den Zugang zu sensiblen Daten ermöglicht. Security-Insider informiert über die Heartbleed-Lücke und zeigt Gegenmaßnahmen für Admins und Endanwender.

Die Heartbleed-Sicherheitslücke (CVE-2014-0160) in OpenSSL (vor 1.0.1g) zieht so weite Kreise, dass sogar sonst eher IT-ferne Publikationen darauf aufmerksam werden und darüber schreiben. Entsprechend groß sind Verunsicherung und Gerüchteküche rund um die Schwachstelle. Um diesen Verwirrungen entgegenzuwirken, haben wir die aktuell verfügbaren Informationen über Heartbleed zusammengestellt, liefern Methoden, um festzustellen, ob die eigenen Dienste und Anwendungen betroffen und Lösungen, wie sich die eigenen Systeme gegen Heartbleed schützen lassen.

Was genau ist der Fehler?

OpenSSL kann die in RFC6520 beschriebene Heartbeat-Erweiterung nutzen, um eine zuvor sicher ausgehandelte Datenverbindung auch dann aufrecht zu erhalten, wenn keine aktiven Daten fließen. Der Vorteil für die Nutzer: Die Datenverbindung müssen nicht bei jeder Übertragung neu ausgehandelt werden, sondern kann im Hintergrund aktiv bleiben.

Welche OpenSSL-Versionen sind anfällig?

Der Fehler gelangte Dezember 2011 in die OpenSSL-Programmpakete, verwundbar sind die Versionen OpenSSL 1.0.1 bis 1.0.1f – diese Versionen sind etwa seit März 2012 produktiv im Einsatz. Das bedeutet auch, dass nahezu alle Projekte, die aktuell OpenSSL nutzen, von Heartbleed betroffen sind. Dazu gehören VPN-Systeme oder Betriebssysteme, die mit einer fehlerhaften Version ausgeliefert wurden.

Ist Heartbleed ein fundamentaler Fehler in SSL/TSL an sich?

Nein. Heartbleed ist nicht auf einen Fehler im eigentlichen Protokoll zurückzuführen, sondern ein „klassischer“ Software-Bug. Dieser lässt sich beheben, tatsächlich steht bereits OpenSSL 1.0.1g zur Verfügung, in dieser Version werden Heartbleed-Attacken verhindert.

Was können Angreifer stehlen?

Kurz gesagt: Die Kronjuwelen. Über Heartbleed können Inhalte des Speichers ausgelesen werden, dazu gehören Informationen zu verwendeten Schlüsseln, geschützte Inhalte und andere Informationen.

  • 1. Primäre Schlüsselinformationen
  • 2. Sekundäre Schlüsselinformationen
  • 3. Geschützte Inhalte
  • 4. Kollateralinformationen

Nahezu alle Informationen, die per OpenSSL geschützt werden sollten, können theoretisch ausgelesen werden. Gelangt ein Angreifer an die primären Schlüsselinformationen, kann er jede Übertragung – oder künftigen Datenaustausch – abgreifen und entschlüsseln. Sekundäre Informationen erlauben den Zugriff auf Nutzerdaten oder Session Keys.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Danke, dass Sie so aufmerksam lesen! Die entsprechenden Korrekturen habe ich eingepflegt. Einen...  lesen
posted am 14.04.2014 um 08:42 von Stephan_Augsten

Hier sollte im Artikel eine kleine, aber relevante Korrektur an zwei Stellen erfolgen: Welche...  lesen
posted am 13.04.2014 um 20:28 von Unregistriert

Es hat sich auf Seite 2 ein Fehler eingeschlichen. Man sollte schnellst möglich auf OpenSSL 1.0.1g...  lesen
posted am 12.04.2014 um 11:03 von Unregistriert


Mitdiskutieren

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42636246 / Sicherheitslücken)