Noch mehr Herzbluten bei OpenSSL
Der Verursacher der Heartbleed-Lücke hat weiteren Code zum Open-Source-Projekt beigetragen. Und auch der hat offensichtliche Sicherheitslücken.
- Fabian A. Scherschel
Eine der sieben gestern durch das OpenSSL-Projekt geschlossenen Lücken ist nun besonderem Interesse ausgesetzt (CVE-2014-0195). Laut HPs Zero Day Initiative (ZDI), die eine der Lücken im DTLS-Code analysiert hat, ist derselbe Programmierer für den Bug verantwortlich, der auch schon den SSL-GAU Heartbleed zu verantworten hatte. Wie auch schon bei Heartbleed befindet sich das Problem in einem relativ wenig genutzten Protokoll, das allerdings standardmäßig aktiviert ist.
Der Programmierer R.S. sei allerdings nicht alleine schuld, erklärt die ZDI. Das grundlegende Problem liege auch beim Projekt, das die Fehler nicht gefunden habe, bevor es den Code abnickte. Das Open-Source-Konzept der vielen Augen, die den Code begutachten, habe versagt. Dafür sind jetzt sicher andere aktiv dabei, den gesamten von R.S. geschriebene Code besonders genauen Prüfungen zu unterziehen.
"Das Blut ist jetzt im Wasser", so die ZDI, und meint damit wohl, dass die Haie nicht weit sind. Es ist deshalb zu erwarten, dass weitere Fehler dieses Entwicklers nun schnell entdeckt werden. Die vorliegende Lücke war durch Browser-Experte Jüri Aedla gefunden worden. (fab)