zurück zum Artikel

Mit Bitcoin Core 0.9.1 beheben die Entwickler des Referenz-Clients den Horror-SSL-Bug Heartbleed in ihrer Software.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit [1]
• SSL-Gau: So testen Sie Programme und Online-Dienste [2]
• Passwörter in Gefahr - was nun? [3]
• Heartbleed-Betroffene stecken Kopf in den Sand [4]
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen [5]
• Infos und Hintergrund zum Heartbleed-Bug [6]

Die Entwickler des offiziellen Bitcoin-Clients Bitcoin Core haben mit einem Update [7] die Heartbleed-Lücke in ihrer Software geschlossen. Dieser vor zwei Tagen bekannt gewordene Bug in OpenSSL [8] gefährdet einen großen Teil der verschlüsselten Kommunikation im Web. Zwar ist weder das Bitcoin-Protokoll an sich noch das eigentliche Wallet des Clients verwundbar, allerdings nutzt das sogenannte Payment Protocol der Software die OpenSSL-Bibliothek inklusive Heartbeat-Funktion für TLS-Verbindungen.

Das Payment Protocol [9] ist eine Erweiterung, die in den Bitcoin-Client eingebaut wurde, um das Bezahlen im Handel zu vereinfachen. Es unterstützt die Anzeige von Domainnamen als Ziel von Transaktionen (anstatt der obskuren Bitcoin-Adresse) und bietet eine Möglichkeit, Bezahlvorgänge einfacher belegen zu können. Kommunikation über das Payment Protocol wird mit SSL-Verbindungen abgesichert, um Man-in-the-Middle-Angriffe zu verhindern und zusätzliche Daten zum Bezahlvorgang vertraulich zu halten.

Version 0.9.1 von Bitcoin Core mit dem Heartbleed-Fix kann von der Bitcoin-Webseite heruntergeladen werden [10]. (fab [11])

URL dieses Artikels:
https://www.heise.de/-2167392

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/So-funktioniert-der-Heartbleed-Exploit-2168010.html
[2] https://www.heise.de/news/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
[3] https://www.heise.de/meinung/Passwoerter-in-Gefahr-was-nun-2167584.html
[4] https://www.heise.de/news/Heartbleed-Betroffene-stecken-Kopf-in-den-Sand-2188855.html
[5] https://www.heise.de/news/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
[6] http://www.heise.de/thema/Heartbleed
[7] https://bitcoin.org/en/release/v0.9.1
[8] https://www.heise.de/news/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
[9] https://github.com/bitcoin/bips/blob/master/bip-0070.mediawiki
[10] https://bitcoin.org/bin/0.9.1/
[11] mailto:contact@fab.industries

Copyright © 2014 Heise Medien