zurück zum Artikel

Die Veröffentlichung der folgenschweren Heartbleed-Lücke hat viele Dienste eiskalt erwischt – darunter Adobe, LastPass, Web.de und sogar VeriSign. Anwender können online überprüfen, ob die von ihnen genutzten Dienste bereits geschützt sind.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit [1]
• SSL-Gau: So testen Sie Programme und Online-Dienste [2]
• Passwörter in Gefahr - was nun? [3]
• Heartbleed-Betroffene stecken Kopf in den Sand [4]
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen [5]
• Infos und Hintergrund zum Heartbleed-Bug [6]

Der folgenschwere Heartbleed-Bug [7] in der weit verbreiteten Krypto-Bibliothek OpenSSL ermöglicht, dass sich Verbindungspartner gegenseitig angreifen können. Bei anfälligen Webservern besteht etwa die Möglichkeit, private Krypto-Schlüssel aus dem Speicher auszulesen. Mit denen kann der Angreifer dann den SSL-Traffic aller Nutzer entschlüsseln.

Eiskalt erwischt

Einige Betreiber von Diensten wie CloudFlare [8] haben die Entdecker des Bugs offensichtlich vorab informiert; nach welchen Kriterien diese Auswahl erfolgte ist jedoch nicht bekannt. Stichproben von heise Security zeigen, dass viele prominente Sites offensichtlich nicht auf die Veröffentlichung der Schwachstellen-Details vorbereitet waren. Am Vormittag waren zum Beispiel Adobe.com, Web.de, VeriSign.com, Comodo.com sowie die Site des Online-Passwortmanagers LastPass noch verwundbar.

Die Unternehmen haben inzwischen allesamt reagiert. Die Betreiber der Online-Aufgabenverwaltung Wunderlist haben vorsorglich die Cloud-Synchronisation abgeschaltet, da die von Amazon angemieteten Server ebenfalls betroffen sind. Weiterhin anfällig ist offenbar ausgerechnet die Site des OpenSSL-Projekts.

Dienste checken

Mit zwei Prüfdiensten können Sie herausfinden, ob die von Ihnen genutzten Dienste noch verwundbar sind, nämlich mit filippo.io/Heartbleed [9] und possible.lv/tools/hb [10]. Darüber hinaus gibt es vom gleichen Autor das Go-Script Heartbleed [11], mit dem man diese Tests auch lokal durchführen kann. Das Perl-Skript check-ssl-heartbleed.pl [12] kann sogar Mail-Server mit starttls testen. Update vom 9. April, 9:45 Uhr: Inzwischen gibt es auch Testmodule für Metasploit [13], Nmap [14], OpenVAS [15] und Nessus [16] sowie ein passendes xkcd [17].

Bei den meisten Linux-Distributionen [18] werden die abgesicherten OpenSSL-Versionen inzwischen über die Paketmanager angeboten. Manche Programme wie etwa das Apache-SPDY-Modul [19] installieren sich aber auch ihre eigenen Bibliotheken. Um das zu überprüfen, kann man sich die aktuell im System aktiven Bibliotheken unter Linux mit dem Befehl lsof | grep libssl anzeigen lassen. Dabei erscheint dann zum Beispiel etwas wie:

apache2 ... /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0 
vmware ... /usr/lib/vmware/lib/libssl.so.0.9.8/libssl.so.0.9.8

Inzwischen musste Sophos einräumen, dass auch die UTM-Appliances (früher Astaro) für die Lücke anfällig sind [20]. Ein Sicherheits-Patch ist noch in Arbeit. Es gibt aber auch eine gute Nachricht: OpenSSH ist dem ersten Anschein nach nicht betroffen. Es verwendet zwar die Basis-Krypto-Funktionen von OpenSSL, nutzt aber nicht die anfälligen TLS-Funktionen. (rei [21])

URL dieses Artikels:
https://www.heise.de/-2165995

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/So-funktioniert-der-Heartbleed-Exploit-2168010.html
[2] https://www.heise.de/news/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
[3] https://www.heise.de/meinung/Passwoerter-in-Gefahr-was-nun-2167584.html
[4] https://www.heise.de/news/Heartbleed-Betroffene-stecken-Kopf-in-den-Sand-2188855.html
[5] https://www.heise.de/news/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
[6] http://www.heise.de/thema/Heartbleed
[7] https://www.heise.de/news/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
[8] http://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities
[9] http://filippo.io/Heartbleed/
[10] http://possible.lv/tools/hb/
[11] https://github.com/FiloSottile/Heartbleed
[12] https://github.com/noxxi/p5-scripts/blob/master/check-ssl-heartbleed.pl
[13] https://github.com/rapid7/metasploit-framework/pull/3206
[14] http://nmap.org/nsedoc/scripts/ssl-heartbleed.html
[15] https://gist.github.com/RealRancor/10140249
[16] http://www.tenable.com/plugins/index.php?view=single&id=73412
[17] http://xkcd.com/1353/
[18] https://www.heise.de/news/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
[19] https://code.google.com/p/mod-spdy/
[20] http://blogs.sophos.com/2014/04/08/important-note-openssl-vulnerability-cve-2014-0160-in-sophos-utm/
[21] mailto:rei@heise.de

Copyright © 2014 Heise Medien