Fakten und Hintergründe zur OpenSSL-Lücke

Gegenmaßnahmen zur Heartbleed-Sicherheitslücke für Admins

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Ein Angriff auf die Heartbleed-Sicherheitslücke lässt sich aktuell nicht blocken, außer es werden alle Heartbeat-Verbindungen abgelehnt. Admins können allerdings ihre IDS/IPS-Systeme auf das OpenSSL Heartbeat Request trainieren. Wenn sich die Größe von Anfrage und Antwort deutlich unterscheiden, könnte ein Angriff vorliegen.
Ein Angriff auf die Heartbleed-Sicherheitslücke lässt sich aktuell nicht blocken, außer es werden alle Heartbeat-Verbindungen abgelehnt. Admins können allerdings ihre IDS/IPS-Systeme auf das OpenSSL Heartbeat Request trainieren. Wenn sich die Größe von Anfrage und Antwort deutlich unterscheiden, könnte ein Angriff vorliegen. (Bild: Alexandr Mitiuc - Fotolia.com, Codenomicon)

In OpenSSL steckt eine kritische Sicherheitslücke, die Angreifern den Zugang zu sensiblen Daten ermöglicht. Security-Insider informiert über die Heartbleed-Lücke und zeigt Gegenmaßnahmen für Admins und Endanwender.

Die Heartbleed-Sicherheitslücke (CVE-2014-0160) in OpenSSL (vor 1.0.1g) zieht so weite Kreise, dass sogar sonst eher IT-ferne Publikationen darauf aufmerksam werden und darüber schreiben. Entsprechend groß sind Verunsicherung und Gerüchteküche rund um die Schwachstelle. Um diesen Verwirrungen entgegenzuwirken, haben wir die aktuell verfügbaren Informationen über Heartbleed zusammengestellt, liefern Methoden, um festzustellen, ob die eigenen Dienste und Anwendungen betroffen und Lösungen, wie sich die eigenen Systeme gegen Heartbleed schützen lassen.

Was genau ist der Fehler?

OpenSSL kann die in RFC6520 beschriebene Heartbeat-Erweiterung nutzen, um eine zuvor sicher ausgehandelte Datenverbindung auch dann aufrecht zu erhalten, wenn keine aktiven Daten fließen. Der Vorteil für die Nutzer: Die Datenverbindung müssen nicht bei jeder Übertragung neu ausgehandelt werden, sondern kann im Hintergrund aktiv bleiben.

Welche OpenSSL-Versionen sind anfällig?

Der Fehler gelangte Dezember 2011 in die OpenSSL-Programmpakete, verwundbar sind die Versionen OpenSSL 1.0.1 bis 1.0.1f – diese Versionen sind etwa seit März 2012 produktiv im Einsatz. Das bedeutet auch, dass nahezu alle Projekte, die aktuell OpenSSL nutzen, von Heartbleed betroffen sind. Dazu gehören VPN-Systeme oder Betriebssysteme, die mit einer fehlerhaften Version ausgeliefert wurden.

Ist Heartbleed ein fundamentaler Fehler in SSL/TSL an sich?

Nein. Heartbleed ist nicht auf einen Fehler im eigentlichen Protokoll zurückzuführen, sondern ein „klassischer“ Software-Bug. Dieser lässt sich beheben, tatsächlich steht bereits OpenSSL 1.0.1g zur Verfügung, in dieser Version werden Heartbleed-Attacken verhindert.

Was können Angreifer stehlen?

Kurz gesagt: Die Kronjuwelen. Über Heartbleed können Inhalte des Speichers ausgelesen werden, dazu gehören Informationen zu verwendeten Schlüsseln, geschützte Inhalte und andere Informationen.

  • 1. Primäre Schlüsselinformationen
  • 2. Sekundäre Schlüsselinformationen
  • 3. Geschützte Inhalte
  • 4. Kollateralinformationen

Nahezu alle Informationen, die per OpenSSL geschützt werden sollten, können theoretisch ausgelesen werden. Gelangt ein Angreifer an die primären Schlüsselinformationen, kann er jede Übertragung – oder künftigen Datenaustausch – abgreifen und entschlüsseln. Sekundäre Informationen erlauben den Zugriff auf Nutzerdaten oder Session Keys.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42636246 / Sicherheitslücken)