Aktuelles, Experten - geschrieben von cp am Freitag, April 11, 2014 18:40 - ein Kommentar
OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein
Server-Betreiber sollten umgehend ein Update durchführen
[datensicherheit.de, 11.04.2014] Der „Heartbleed Bug“, über den derzeit in den Medien berichtet wird, ist eine Sicherheitslücke in einer Programmerweiterung von OpenSSL namens „Heartbeat“. OpenSSL ist eine freie Software-Bibliothek für Transport Layer Security (TLS) und umfasst Implementierungen verschiedener Verschlüsselungen. Insbesondere Web- und Mail-Server aber auch andere Dienste wie Virtual Private Networks oder Appliances wie Router nutzen häufig diese Bibliothek für TLS/SSL-Verbindungen. Die Bibliothek enthält in den Versionen 1.0.1 bis 1.0.1f eine Schwachstelle, den „Heartbleed-Bug“.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft diese Schwachstelle als kritisch ein. Ein Angreifer ist unter Ausnutzung der Schwachstelle in der Lage, Speicherinhalte des OpenSSL Servers auszulesen, sofern diese die “Heartbeat”-Erweiterung aktiviert haben. Mithilfe des “Heartbleed Bugs” können zudem unter Umständen die geheimen Schlüssel von OpenSSL-Servern ausgelesen werden.
Seit dem 7. April 2014 steht mit OpenSSL Version 1.0.1g ein Update zur Verfügung, das die Sicherheitslücke schließt. Betreiber, die auf ihren Servern OpenSSL einsetzen, sollten das Update umgehend einspielen. Falls seit März 2012 eine verwundbare OpenSSL-Version mit aktivierter Heartbeat-Erweiterung eingesetzt wurde, kann eine vergangene Kompromittierung von Schlüsseln nicht ausgeschlossen werden. Daher empfiehlt das BSI in einem solchen Fall den Austausch der verwendeten OpenSSL Server-, beziehungsweise Client-Zertifikate und Schlüssel sowie eine Änderung der verwendeten Passwörter. Der Austausch sollte erst nach der Einspielung des Updates erfolgen, da ansonsten die neuen Zertifikate wieder kompromittiert werden könnten. Die alten Zertifikate müssen nach erfolgreichem Austausch gesperrt werden. Betreiber sind aufgerufen, ihre Nutzer über die Umsetzung der Aktualisierung zu informieren, damit diese ihre Passwörter kurzfristig ändern.
ein Kommentar
Kommentieren
Kooperation
Medienkooperation
Mitgliedschaft
Schulungsangebot
Partner
Gefragte Themen
- Umfrage: Cyberkrieg für 86 Prozent der IT-Sicherheitsexperten bereits Realität
- Europas Unternehmen mit Nachholbedarf im Bereich Cloudsicherheit
- IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig
- DSGVO-Anforderungen: 87 Prozent der geprüften deutschen Webshops ungenügend
- WhatsApp: Spyware-App für Android liest Nachrichten aus
- Anstieg bei Callcenter-Angriffen von 2013 bis 2017 um 350 %
- Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen
- Industrielle Netzwerke: Gefahren durch Fernwartungssoftware
- Kryptographie: Vorbereitung auf das Aufkommen des Quantum Computings
- Airlock: Neuer Leitfaden „IAM-Projekte erfolgreich umsetzen“ vorgestellt
- Risikomanagement senkt Gefahren durch Drittanbieter-Software
- Studie zur Cybersicherheit in deutschen IT- und Kommunikationsunternehmen
- Heartbleed: OpenSSL-Schwachstelle wird immer noch ausgenutzt
- gute info...
- Ich kann nur hoffen, dass die Befragten sich irren....
- Ist die Kommentarspalte für Werbung da? Ich finde Ihr Vorgehen peinlich.
MFA od...
- Ich schließe mich eurem Resümee an und habe mich bei der Challenge somit natürli...
- Umso interessanter sollte dieses Gespräch sein, in dem verschiedene Ansätze vorg...
- Multi Faktor ist grundsätzlich ein Fortschritt, jedoch sollten im professionelle...
- Ich habe das Problem unterschätzt. Erschreckend, wie wenig Geld notwendig ist, d...
- Eine ordentliche Backup-Strategie als Teil eines ordentlichen Sicherheitskonzept...
Aktuelles, Branche, Gastbeiträge - Sep 20, 2018 16:26 - noch keine Kommentare
Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen
weitere Beiträge in Experten
- Kryptographie: Vorbereitung auf das Aufkommen des Quantum Computings
- Kritik an der geplanten Verordnung zur „Entfernung terroristischer Inhalte“
- Nach British Airways-Hack drohen der Fluggesellschaft DSGVO-Sanktionen
- DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung
- Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk
Aktuelles, Branche - Sep 20, 2018 23:40 - noch keine Kommentare
IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig
weitere Beiträge in Branche
- DSGVO-Anforderungen: 87 Prozent der geprüften deutschen Webshops ungenügend
- WhatsApp: Spyware-App für Android liest Nachrichten aus
- Anstieg bei Callcenter-Angriffen von 2013 bis 2017 um 350 %
- Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen
- Industrielle Netzwerke: Gefahren durch Fernwartungssoftware
Aktuelles, Branche, Studien, Umfragen - Sep 20, 2018 16:47 - noch keine Kommentare
DSGVO-Anforderungen: 87 Prozent der geprüften deutschen Webshops ungenügend
weitere Beiträge in Service
- Black Hat-Umfrage von Thycotic enthüllt die beliebtesten Einfallstore der Hacker
- Umfrage: Cyberkrieg für 86 Prozent der IT-Sicherheitsexperten bereits Realität
- Attacken auf deutsche Industrie verursachten 43 Milliarden Euro Schaden
- Security-Systeme: Business Email Compromise-Angriffe schwer erkennbar
- AlixPartners-Umfrage: Korruption belastet globale Wirtschaft
[…] datensicherheit.de, 11.04.2014 OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein […]