Gefahr für Webserver durch OpenSSL-Bug Heartbleed

SicherheitSicherheitsmanagement
Heartbleed (Grafik: Codenomicon)

Unter Ausnutzung des Fehlers in OpenSSL können Angreifer im Memory unter anderem Usernamen und Passwörter oder gar private Schlüssel auslesen. Obwohl ein Fix bereits zur Verfügung steht, ist ein Problem damit nicht behoben: Um sicher zu gehen, müsste jedes möglicherweise in falsche Hände geratene Passwort und jedes potenziell ausgespähte Zertifikat ausgewechselt werden.

Die Sicherheitsfirma Codenomicon, hat zusammen mit Google-Forscher Neel Mehta einen Fehler in der Software OpenSSL entdeckt. Er gewährt Angreifern Zugriff auf den flüchtigen Speicher eines Webservers. Der Heartbleed beziehungsweise CVE-2014-0160 genannte Bug erlaubt es Hackern, zum Beispiel Nutzernamen und Passwörter von Nutzern im Speicher auszulesen und sich sogar gegenüber Dritten als der Server auszugeben, nachdem sie sich unter Ausnutzung der Lücke den Schlüssel des Originalservers verschafft haben.

Heartbleed (Grafik: Codenomicon)

OpenSSL ist eine weit verbreitete, quelloffene Lösung für verschlüsselte Online-Kommunikation mit SSL/TLS. Sie kann für HTTPS ebenso wie E-Mail- oder Messaging-Verschlüsselung zum Einsatz kommen. Codenomicon hat sie auf eigenen Servern untersucht, um die Schwachstelle zu überprüfen: “Wir griffen uns selbst von außen an, ohne eine Spur zu hinterlassen. Ohne jegliche Zugangsdaten stahlen wir uns selbst die geheimen Schlüssel für unsere X.509-Zertifikate, Usernamen und Passwörter, Instant Messages, E-Mails und geschäftskritische Dokumente”, schreiben die Forscher.

Adam Langley von Google, der an der Behebung des Problems beteiligt war, widerspricht dem allerdings: Er habe nie auf private Keys zugreifen können: “Als ich den schnellen OpenSSL-Fix testete, habe ich nie Schlüsselmaterial von Servern bekommen, immer nur alte Pufferverbindungen. (Immerhin mit Cookies.)”

Betroffen sind Version 1.0.1 und 1.0.2-beta von OpenSSL, das in vielen Linux-Distributionen enthalten ist. Die bereits verfügbare Version 1.0.1g schließt die Lücke. Eine einfache Möglichkeit, um zu überprüfen, ob der eigene Webserver betroffen ist, hat Filippo Valsorda bereitgestellt. Caschys Blog hat damit etwa ermittelt, dass der Passwortmanager LastPass zu den Opfern zählt.

Eigentlich müsste nun jeder Besucher einer gefährdeten Site sein Passwort wechseln, weil es ja längst kompromittiert sein könnte. Analog müssten zahlreiche potenziell entwendete Sicherheitszertifikate zurückgezogen werden.

Die Gefahr ist etwas weniger groß für Websites, die bereits die Funktion Perfect Forward Secrecy nutzen. Sie wechselt den Sicherheitsschlüssel für jede Session, ohne dass sich daraus Rückschlüsse auf den Master Key ziehen ließen. Der Diebstahl eines Session Key etwa mit Heartbleed hat somit kaum Folgen.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen