SSL-Gau Heartbleed: Linux Foundation organisiert Millionen für OpenSSL

Wenige Tage nach der öffentlichen Bitte des OpenSSL-Projekts um finanzielle Unterstützung hat die Linux Foundation eine ganze Reihe von IT-Größen organisiert, die Geld für OpenSSL und andere wichtige Open-Source-Projekte zur Verfügung stellen. Dafür gründen Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft und andere die "Core Infrastructure Initiative", teilt die Organisation mit. Die soll mehrere Millionen US-Dollar für Projekte bereitstellen, die für die Infrastruktur und wichtige Funktionen des Internets unersetzlich sind. Nach der jüngst entdeckten Heartbleed-Lücke solle geprüft werden, ob OpenSSL als erstes Projekt davon profitieren könne. Mit dem Geld könnten etwa zusätzliche Programmierer für eine Vollzeit-Anstellung bezahlt werden.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit
• SSL-Gau: So testen Sie Programme und Online-Dienste
• Passwörter in Gefahr - was nun?
• Heartbleed-Betroffene stecken Kopf in den Sand
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen
• Infos und Hintergrund zum Heartbleed-Bug

Der auf Heartbleed getaufte, kritische Programmierfehler in OpenSSL hatte auch die Struktur des OpenSSL-Projekts in den Blickpunkt der Öffentlichkeit gerückt. Der für dessen Finanzen zuständige Steve Marquess hatte deshalb um finanzielle Hilfe gebeten, da das Team hoffnungslos unterbesetzt sei. Mit Stephen Henson gebe es lediglich einen direkt angestellten Mitarbeiter, nötig seien aber "mindestens ein halbes Dutzend Vollzeit-Mitglieder". Die könnten nun in Reichweite rücken, auch wenn Marquess gegenüber Ars Technica einräumte, noch keine Details zu den Plänen der "Core Infrastructure Initiative" zu kennen.

Ars Technica zufolge haben Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, HP, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace und VMware zugesagt, jeweils mindestens drei Jahre lang 100.000 US-Dollar oder mehr in die Initiative zu stecken. Die könnte demnach mindestens 4,2 Millionen US-Dollar an Open-Source-Projekte weitergeben. Gleichzeitig werde man gewährleisteten, dass die Projekte ihre Unabhängigkeit und ihre Dynamik behielten, schreibt die Foundation. Weitere Mitglieder in der Organisation seien willkommen und nun werde geprüft, welche Projekte man unterstützen könne. Gegenüber Ars Technica wurden neben OpenSSL etwa das Open Crypto Audit Project und GnuPG genannt. (mho)