Heartbleed Schwachstelle in OpenSSL

Veröffentlicht von ¥akuza112am 09. April 2014in : IT NewsTags: 1 Kommentar

Ein kritischer Fehler in der Verschlüsselungssoftware OpenSSL wurde am späten Montag Abend von seinen Entdeckern veröffentlicht. Die Schwachstelle welche sich selber „Heartbleed“ nennt, ermöglicht Angreifern, geschützte Informationen auszulesen und die Kommunikation abzugreifen. Hier kann der Server dazu gebracht werden, den privaten Schlüssel des Servers preiszugeben [ Der private Schlüssel (Private Key) liegt auf dem Server, auf welchem Dienste, welche SSL beanspruchen, genutzt werden. Nur mit dem privaten Schlüssel ist der Server in der Lage die Daten zu entschlüsseln. ]

Heartbleed is a rare bug: a failure in a crypto library that leaks data beyond what it's protecting. So worse than no crypto at all.

— matt blaze (@mattblaze) April 8, 2014

Einer aktuellen Server Studie nach, nutzen knapp zwei-drittel aller Webserver OpenSSL, das Problem ist hier also global. Alle Versionen von 1.0.1 bis 1.0.1f eingeschlossen sind betroffen. Eine korrigierte Version 1.0.1g wurde heute veröffentlicht. Eine Warnung vom OpenSSL-Team wurde veröffentlicht :

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <[email protected]> and Bodo Moeller <[email protected]> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

Glück gehabt haben Anwender älterer Distributionen, die noch auf OpenSSL 1.0.0 oder eine der 0.9-Versionen setzen, diese sind von dem Problem nicht betroffen.

Um zu testen ob Ihre Webseite betroffen ist, besuchen Sie bitte filippo.io

Sollten SIe hier nicht diese Meldung erhalten, müssen Sie OpenSSL aktualisieren :

wget http://openssl.org/source/openssl-1.0.1g.tar.gz
tar xfz openssl-1.0.1g.tar.gz
cd openssl-1.0.1g
./config –prefix=/usr zlib-dynamic –openssldir=/etc/ssl shared
make
sudo make install

Kind regards,

¥akuza112

Ich beschäftige mich größtenteils mit aktuellen Nachrichten bzgl. Hacking, Cracking & Security, sowie Globalen und Scene News. Wir haben uns nicht unterkriegen lassen und sind trotz vieler Drohungen, Ddos Attacken usw. seit August 2010 online. Die Privatsphäre unserer Leser liegt uns sehr am Herzen, weswegen wir keinerlei Nutzerdaten (in Form von IP Adressen) unserer Nutzer in der Datenbank speichern. Falls Sie Fragen, Anregungen oder Kritik haben, schicken Sie mir doch einfach eine Nachricht. Weitere Kontaktmöglichkeiten finden Sie auf yakuza112.org.

Password Manager by Becks

ScenePirat bloggt weiter

Über den Autor

¥akuza112

Ähnliche Artikel

Ein Kommentar

¥akuza112

Hinterlasse eine Antwort Breche Antwort ab