Heartbleed - OpenSSL Sicherheitslücke entdeckt!
Der Heartbleed-Bug ist ein schwerwiegender Programmfehler in älteren Versionen der Open-Source-Bibliothek OpenSSL. Über manipulierte TLS-Heartbeat-Anfragen konnten Angreifer Speicherinhalte von Clients und Servern auslesen – darunter potenziell Passwörter, private Schlüssel oder Sitzungsdaten.
Betroffen waren die OpenSSL-Versionen 1.0.1 bis 1.0.1f. Behoben wurde die Schwachstelle mit Version 1.0.1g am 7. April 2014. Ein großer Teil der Internetdienste war zeitweise angreifbar, darunter bekannte Websites, VoIP-Telefone, Router und Netzwerkdrucker.
Entdeckt wurde der Fehler von der Sicherheitsfirma Codenomicon gemeinsam mit einem Google-Sicherheitsingenieur. Die Schwachstelle in der weit verbreiteten OpenSSL-Software ermöglichte es Angreifern, eigentlich geschützte Informationen auszulesen.
Was bedeutet das für SSL/TLS?
SSL (Secure Sockets Layer) bzw. TLS (Transport Layer Security) wird eingesetzt, um die Datenkommunikation zwischen Browser (Client) und Server zu verschlüsseln. Ziel ist es, unbefugten Zugriff auf übertragene Daten zu verhindern. Heartbleed zeigte, dass selbst bei aktiver Verschlüsselung Implementierungsfehler in Kryptobibliotheken ein erhebliches Risiko darstellen können.
Prüfen, ob Systeme betroffen sind
Zum Zeitpunkt der Veröffentlichung gab es öffentliche Testseiten, mit denen sich Server prüfen ließen: