zurück zum Artikel

Wichtig ist das Update besonders für Windows-Nutzer, weil die üblichen Installationsarchive anfällige OpenSSL-Versionen enthalten können. Die übrigen Änderungen – Bugfixes und kleine Verbesserungen – nimmt man gern mit.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit [1]
• SSL-Gau: So testen Sie Programme und Online-Dienste [2]
• Passwörter in Gefahr - was nun? [3]
• Heartbleed-Betroffene stecken Kopf in den Sand [4]
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen [5]
• Infos und Hintergrund zum Heartbleed-Bug [6]

OpenVPN Technologies hat ein Update seiner gleichnamigen VPN-Software veröffentlicht [7], das unter anderem einige Windows-Versionen des Programms ersetzen soll, die sich kürzlich als unsicher herausgestellt haben. Die aktuelle Version 2.3.3 beseitigt einige Fehler und bringt kleinere Verbesserungen und Änderungen mit. Besonders wichtig für OpenVPN-Anwender auf Windows ist aber das Windows-Installationsarchiv, das eine aktualisierte Version der OpenVPN-GUI und enthält auch die OpenSSL-Bibliothek in Version 1.0.1g. Diese enthält einen Fix gegen den als Heartbleed bekannten OpenSSL-Bug [8].

Alle Nutzer der OpenVPN-Windows-Versionen ab 2.3-rc2-I001 bis 2.3.2-I003 sollten ihre Installationen dringend aktualisieren; diese Versionen sind gegen Attacken auf die Heartbleed-Sicherheitslücke anfällig. Um zu prüfen, welche OpenSSL-Version eine Windows-OpenVPN-Installation verwendet, öffnen Sie in einem Windows-Explorerfenster den Ordner C:\Program Files\OpenVPN\bin, klicken Sie mit der rechten Maustaste auf die Datei libeay32.dll und prüfen Sie im Bereich "Details/Product Version" die verwendete OpenSSL-Version.

OpenVPN Technologies meldet daneben, dass auch deren kommerzielles Produkt, der Access Server, von der Heartbleed-Sicherheitslücke betroffen ist. Alle Nutzer des Access Servers sollen umgehend die Firmware-Version 2.0.6 einspielen. (dz [9])

URL dieses Artikels:
https://www.heise.de/-2167844

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/So-funktioniert-der-Heartbleed-Exploit-2168010.html
[2] https://www.heise.de/news/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
[3] https://www.heise.de/meinung/Passwoerter-in-Gefahr-was-nun-2167584.html
[4] https://www.heise.de/news/Heartbleed-Betroffene-stecken-Kopf-in-den-Sand-2188855.html
[5] https://www.heise.de/news/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
[6] http://www.heise.de/thema/Heartbleed
[7] http://openvpn.net/index.php/open-source/downloads.html
[8] https://www.heise.de/news/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
[9] mailto:dz@ct.de

Copyright © 2014 Heise Medien