Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen!

OpenSSL ist zur Absicherung von Datenübermittlungen im Internet weit verbreitet

  • 10 years ago Posted in

Es kommt auf Webservern, in der E-Mail-Kommunikation, bei VPN und anderen Diensten zum Einsatz. Nun ist eine gravierende Sicherheitslücke in der Verschlüsselungsbibliothek aufgedeckt worden, über die Angreifer die Schlüssel auslesen, die Verschlüsselung aushebeln und die vermeintlich gesicherte Kommunikation kompromittieren können.

"Für OpenSSL-Anwender ist damit der Super-GAU eingetreten. Passwörter, Daten und ganze Kommunikationsvorgänge drohen in die Hände unbefugter Dritte zu fallen. Zumal die Sicherheitslücke einfach auszunutzen ist. Wir raten daher unbedingt zu einem Upgrade auf die nächsthöhere Version", erklärt Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de). Der deutsche SSL-Pionier bietet seinen Kunden angesichts dessen den schnellen Umtausch betroffener OpenSSL-basierter Zertifikate an.

Die jüngste Sicherheitslücke befindet sich in der Heartbeat-Funktion der Online-Bibliothek. Sie ist für den Status-Austausch verantwortlich, mit dem festgestellt wird, ob der Kommunikationspartner noch aktiv ist. Da der Speicherzugriff nicht überprüft wird, ist es Angreifern möglich, eine Datenmenge von bis zu 64 Kilobyte von der Gegenseite auszulesen. Betroffen sind alle Versionen von OpenSSL 1.0.1 mit Ausnahme der neusten Version OpenSSL 1.0.1g, die den ursächlichen Programmierfehler nicht mehr enthält.

Für den PSW-Geschäftsführer und Verschlüsselungsexperten Christian Heutger ist dieser Vorfall ein weiterer Beleg für die Notwendigkeit des Einsatzes von Perfect Forward Secrecy (http://blog.psw-group.de/knowledgebase-perfect-forward-secrecy-pfs/1120): Die SSL-Zusatzfunktion verhindert, dass bereits abgeschlossene aber verschlüsselt aufgezeichnete Kommunikation durch nachträgliches Bekanntwerden des privaten Schlüssels kompromittiert wird. "Im konkreten Fall wären die per OpenSSL verschlüsselten Daten demnach trotz der Sicherheitslücke weiterhin sicher. Sie könnten von Angreifern, die die Schwachstelle ausnutzen, um in den Besitz des Private Key zu kommen, nicht entschlüsselt werden", erläutert Christian Heutger.

Die PSW GROUP hat anlässlich der Sicherheitslücke eine aus dem deutschen Festnetz kostenfrei erreichbare Notfall-Hotline eingerichtet. Die Verschlüsselungsexperten des Unternehmens stehen Administratoren und Anwendern unter der 0800/503750-1 für Fragen zur Verfügung.

 

Talent and training partner, mthree, which supports major global tech, banking, and business...
On average, only 48% of digital initiatives meet or exceed business outcome targets, according to...
GPUaaS provides customers on-demand access to powerful accelerated resources for AI, machine...
TMF Group, a leading provider of critical administrative services for global businesses, turned to...
Strengthening its cloud credentials as part of its mission to champion the broader UK tech sector...
Nearly all UK IT managers surveyed (98%) state cloud investment is an organisational priority for...
LetsGetChecked is a global healthcare solutions company that provides the tools to manage health...
Node4 to the rescue.