Aktuelles, Experten - geschrieben von am Freitag, April 11, 2014 18:40 - ein Kommentar

OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein

Tags: , , , , ,

Server-Betreiber sollten umgehend ein Update durchführen

[datensicherheit.de, 11.04.2014] Der „Heartbleed Bug“, über den derzeit in den Medien berichtet wird, ist eine Sicherheitslücke in einer Programmerweiterung von OpenSSL namens „Heartbeat“. OpenSSL ist eine freie Software-Bibliothek für Transport Layer Security (TLS) und umfasst Implementierungen verschiedener Verschlüsselungen. Insbesondere Web- und Mail-Server aber auch andere Dienste wie Virtual Private Networks oder Appliances wie Router nutzen häufig diese Bibliothek für TLS/SSL-Verbindungen. Die Bibliothek enthält in den Versionen 1.0.1 bis 1.0.1f eine Schwachstelle, den „Heartbleed-Bug“.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft diese Schwachstelle als kritisch ein. Ein Angreifer ist unter Ausnutzung der Schwachstelle in der Lage, Speicherinhalte des OpenSSL Servers auszulesen, sofern diese die „Heartbeat“-Erweiterung aktiviert haben. Mithilfe des „Heartbleed Bugs“ können zudem unter Umständen die geheimen Schlüssel von OpenSSL-Servern ausgelesen werden.

Seit dem 7. April 2014 steht mit OpenSSL Version 1.0.1g ein Update zur Verfügung, das die Sicherheitslücke schließt. Betreiber, die auf ihren Servern OpenSSL einsetzen, sollten das Update umgehend einspielen. Falls seit März 2012 eine verwundbare OpenSSL-Version mit aktivierter Heartbeat-Erweiterung eingesetzt wurde, kann eine vergangene Kompromittierung von Schlüsseln nicht ausgeschlossen werden. Daher empfiehlt das BSI in einem solchen Fall den Austausch der verwendeten OpenSSL Server-, beziehungsweise Client-Zertifikate und Schlüssel sowie eine Änderung der verwendeten Passwörter. Der Austausch sollte erst nach der Einspielung des Updates erfolgen, da ansonsten die neuen Zertifikate wieder kompromittiert werden könnten. Die alten Zertifikate müssen nach erfolgreichem Austausch gesperrt werden. Betreiber sind aufgerufen, ihre Nutzer über die Umsetzung der Aktualisierung zu informieren, damit diese ihre Passwörter kurzfristig ändern.



ein Kommentar

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Security Advisory: Neue Sicherheitslücken in OpenSSL identifiziert - datensicherheit.de Informationen zu Datensicherheit und Datenschutz
Jun 9, 2014 23:09

[…] datensicherheit.de, 11.04.2014 OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein […]

Kommentieren

Kommentar

Theiners SecurityTalk

Neue Folge!
 Identity & Access Management mit LastPath vom 17.06.2020

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Kooperation

Initiative Digital

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Partner

ZIM-BB

Gefragte Themen

Branche, Interviews - Jul 1, 2020 21:51 - noch keine Kommentare

IT-Sicherheit: Netzwerksegmentierung, Cloud Services und Compliance

weitere Beiträge in Experten


Branche Gastbeiträge Produkte

Branche - Jul 3, 2020 8:38 - noch keine Kommentare

IT-Sicherheitsbranche: Ermutigung zu mehr Zusammenarbeit

weitere Beiträge in Branche


Interviews Branche

Branche, Umfragen - Jun 29, 2020 16:22 - noch keine Kommentare

Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit

weitere Beiträge in Service


Aktuelles Persönlichkeiten Portraits Rezensionen Service


Datenschutzerklärung