Der Fehler bei der Verschlüsselungs-Software OpenSSL scheint die bisher schlimmste Sicherheitslücke im Netz zu sein.

Die in den letzten Tagen entdeckte Schwachstelle erlaubt es, beim Aufbau einer TCP-Verbindung zu einer von dem Fehler betroffenen Software, aus deren Arbeitsspeicherbereichen bis zu 64kB Daten auszulesen. Dieser "Datenabruf" kann beliebig oft wiederholt werden, ist serverseitig praktisch nicht zu erkennen und ermöglicht es so, Teile des Anwendungsspeichers auszulesen. Dort sind insbesondere die für die Nutzung von SSL notwendigen privaten Schlüssel (Private Keys) unverschlüsselt abgelegt (diese werden ja für die Kommunikation benötigt).

Aus diesem Grund ist davon auszugehen, dass bislang mit OpenSSL 1.0.1 verwendete private Schlüssel nicht mehr sicher sind. Alle Zertifikate, für welche ein solcher Schlüssel verwendet wurde, sollten daher durch die ausgebende Zertifizierungsstelle (CA) zurückgerufen ("revoke") und neu ausgestellt ("re-issue") werden!

Die privaten Schlüssel können ansonsten dazu verwendet werden, abgegriffenen Datenverkehr zu decodieren (auch wenn OpenSSL nun zwischenzeitlich aktualisiert wurde).

Ob oder in welchem Umfang tatsächlich private SSL-Schlüssel aufgrund dieses Softwarefehlers ausgelesen werden konnten ist im Moment noch völlig unklar.

Achtung: Es reicht nicht, nur die jeweiligen Patches zu installieren, wir empfehlen die betroffenen Server zu rebooten, damit nutzen die Dienste, welche openssl nutzen definitiv die neuen Bibliotheken.




Dienstag, April 8, 2014

« Zurück