Noch mehr Herzbluten bei OpenSSL

Der Verursacher der Heartbleed-Lücke hat weiteren Code zum Open-Source-Projekt beigetragen. Und auch der hat offensichtliche Sicherheitslücken.

In Pocket speichern vorlesen Druckansicht 706 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel
Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

Eine der sieben gestern durch das OpenSSL-Projekt geschlossenen Lücken ist nun besonderem Interesse ausgesetzt (CVE-2014-0195). Laut HPs Zero Day Initiative (ZDI), die eine der Lücken im DTLS-Code analysiert hat, ist derselbe Programmierer für den Bug verantwortlich, der auch schon den SSL-GAU Heartbleed zu verantworten hatte. Wie auch schon bei Heartbleed befindet sich das Problem in einem relativ wenig genutzten Protokoll, das allerdings standardmäßig aktiviert ist.

Der Programmierer R.S. sei allerdings nicht alleine schuld, erklärt die ZDI. Das grundlegende Problem liege auch beim Projekt, das die Fehler nicht gefunden habe, bevor es den Code abnickte. Das Open-Source-Konzept der vielen Augen, die den Code begutachten, habe versagt. Dafür sind jetzt sicher andere aktiv dabei, den gesamten von R.S. geschriebene Code besonders genauen Prüfungen zu unterziehen.

"Das Blut ist jetzt im Wasser", so die ZDI, und meint damit wohl, dass die Haie nicht weit sind. Es ist deshalb zu erwarten, dass weitere Fehler dieses Entwicklers nun schnell entdeckt werden. Die vorliegende Lücke war durch Browser-Experte Jüri Aedla gefunden worden. (fab)