Aktuelles, Experten - geschrieben von cp am Freitag, April 11, 2014 18:40 - ein Kommentar
OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein
Server-Betreiber sollten umgehend ein Update durchführen
[datensicherheit.de, 11.04.2014] Der „Heartbleed Bug“, über den derzeit in den Medien berichtet wird, ist eine Sicherheitslücke in einer Programmerweiterung von OpenSSL namens „Heartbeat“. OpenSSL ist eine freie Software-Bibliothek für Transport Layer Security (TLS) und umfasst Implementierungen verschiedener Verschlüsselungen. Insbesondere Web- und Mail-Server aber auch andere Dienste wie Virtual Private Networks oder Appliances wie Router nutzen häufig diese Bibliothek für TLS/SSL-Verbindungen. Die Bibliothek enthält in den Versionen 1.0.1 bis 1.0.1f eine Schwachstelle, den „Heartbleed-Bug“.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft diese Schwachstelle als kritisch ein. Ein Angreifer ist unter Ausnutzung der Schwachstelle in der Lage, Speicherinhalte des OpenSSL Servers auszulesen, sofern diese die “Heartbeat”-Erweiterung aktiviert haben. Mithilfe des “Heartbleed Bugs” können zudem unter Umständen die geheimen Schlüssel von OpenSSL-Servern ausgelesen werden.
Seit dem 7. April 2014 steht mit OpenSSL Version 1.0.1g ein Update zur Verfügung, das die Sicherheitslücke schließt. Betreiber, die auf ihren Servern OpenSSL einsetzen, sollten das Update umgehend einspielen. Falls seit März 2012 eine verwundbare OpenSSL-Version mit aktivierter Heartbeat-Erweiterung eingesetzt wurde, kann eine vergangene Kompromittierung von Schlüsseln nicht ausgeschlossen werden. Daher empfiehlt das BSI in einem solchen Fall den Austausch der verwendeten OpenSSL Server-, beziehungsweise Client-Zertifikate und Schlüssel sowie eine Änderung der verwendeten Passwörter. Der Austausch sollte erst nach der Einspielung des Updates erfolgen, da ansonsten die neuen Zertifikate wieder kompromittiert werden könnten. Die alten Zertifikate müssen nach erfolgreichem Austausch gesperrt werden. Betreiber sind aufgerufen, ihre Nutzer über die Umsetzung der Aktualisierung zu informieren, damit diese ihre Passwörter kurzfristig ändern.
ein Kommentar
Kommentieren
Kooperation
Mitgliedschaft
Schulungsangebot
Partner
Gefragte Themen
- Datendiebstahl: Warnung vor eiligen Schuldzuweisungen
- Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar
- Gesundheits-Apps: Sicherheitslücke kann geschlossen werden
- Wie man einen Mehrwert im Network Security Policy Management schafft
- IoT-Sicherheit ist das Thema für die Chefetage
- Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor
- Topf Secret: Kontrollergebnisse aus Lebensmittelbetrieben online
- Verfassungswidrig: Datenschutzbeauftragte kritisieren Vorratsdatenspeicherung
- Datensicherheit: Anonymität im Internet durch kleine Fehler aufgehoben
- 20-jähriger Tatverdächtiger im orbit-Fall
- orbit-Datenleak kein Einzelfall: Politik muss folgerichtig handeln
- Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen
- orbit-Angriff deckt mangelndes Risiko-Bewusstsein auf
- Der Fall orbit: FireEye liefert erste Erkenntnisse
- Kann mich dem Kommentar nur anschließen. WIe wäre es bei unseren Bundestagsabgeo...
- Es ist schon erstaunlich, wozu Politiker in der Lage sind auf Stimmenfang zu geh...
- ein Gruß aus Leipzig.
Ich wünsche Ihnen einen guten Jahreswechsel und ein gut...
- Danke für den interessanten Beitrag. Wir leben tatsächlich in einer Ära des Soci...
- Der neue Verschlüsselungsvirus beginnt, (nach dem Nachladen), mit der Verschlüss...
- IT-Sicherheit muss weder kompliziert, noch teuer sein. Schon mit einfachen Mitte...
- Auch bei mir hat der angebliche Micorosoft Support schon angerufen. Sie meinten ...
- Schade nur, dass sich offensichtlich die Datenschutzbehörden gerne zurückhalten,...
Aktuelles, Branche, Gastbeiträge - Jan 15, 2019 19:23 - noch keine Kommentare
Wie man einen Mehrwert im Network Security Policy Management schafft
weitere Beiträge in Experten
- IoT-Sicherheit ist das Thema für die Chefetage
- Topf Secret: Kontrollergebnisse aus Lebensmittelbetrieben online
- Verfassungswidrig: Datenschutzbeauftragte kritisieren Vorratsdatenspeicherung
- 20-jähriger Tatverdächtiger im orbit-Fall
- Fall Orbit: eco warnt vor gesetzgeberischen Schnellschüssen
Aktuelles, Branche, Gastbeiträge - Jan 15, 2019 19:23 - noch keine Kommentare
Wie man einen Mehrwert im Network Security Policy Management schafft
weitere Beiträge in Branche
- IoT-Sicherheit ist das Thema für die Chefetage
- Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor
- Datensicherheit: Anonymität im Internet durch kleine Fehler aufgehoben
- orbit-Datenleak kein Einzelfall: Politik muss folgerichtig handeln
- Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen
Aktuelles, Branche, Studien, Umfragen - Jan 9, 2019 16:44 - noch keine Kommentare
Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen
weitere Beiträge in Service
- Sichere digitale Infrastrukturen: Mehrheit der Nutzer bevorzugt inländische Datenspeicherung
- Trendbarometer: IT-Sicherheitsbranche erwartet weiterhin Wachstum
- Umfrage: KI schafft über 11 Prozent Wachstum in der Industrie bis 2030
- DSGVO-Anforderungen: 87 Prozent der geprüften deutschen Webshops ungenügend
- Black Hat-Umfrage von Thycotic enthüllt die beliebtesten Einfallstore der Hacker
[…] datensicherheit.de, 11.04.2014 OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein […]