Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

Die wichtigsten Fragen zum Heartbleed-Bug

Ein Software-Fehler macht gesicherte Systeme angreifbar. Was können Seitenbetreiber und Nutzer beachten? Die wichtigsten Fragen im Überblick.


Seit Dienstag sorgt eine Sicherheitslücke in der Software OpenSSL für Schlagzeilen. Der sogenannte Heartbleed-Bug ermöglicht es Angreifern, sensible Daten aus dem Speicher eines Servers auszulesen. Das Bekanntwerden der Lücke hat viele verunsichert. Was aber sollten Seitenbetreiber und Internetnutzer jetzt beachten? Die wichtigsten Fragen im Überblick:

1. Wer ist betroffen?

Grundsätzlich betrifft der Fehler jeden Dienst, der OpenSSL in der Version 1.0.1 bis 1.0.1f oder OpenSSL 1.0.2-beta verwendet. Das sind vor allem Webserver, aber auch solche, die zum Beispiel für Dienste E-Mail, VPN, Plesk oder Adminpanel genutzt werden.

Inzwischen ist klar, dass folgende Distributionen verwundbar waren:

  • RHEL6 / CentOS6 (Die Lücke wurde mit dem letzten OpenSSL 1.0.1e-16 Update geschlossen)
  • Debian 7
  • FreeBSD 10

Nicht betroffen sind Distributionen, die auf der älteren OpenSSL 0.9.8 aufbauen. Nutzer des Apple-Betriebssystems Mac OS X Mavericks zum Beispiel sind wegen der älteren OpenSSL-Versionen nach jetzigem Kenntnisstand vor den Angriffen sicher.

2. Wo liegt die Schwachstelle?

Der Fehler liegt in der sogenannten "Heartbeat"-Funktion von OpenSSL – daher auch der Name "Heartbleed"-Bug. Der Heartbeat ist eine Kommunikations-Funktion, die Statusinformationen zwischen zwei Partnern austauscht. Vor allem, um festzustellen, ob die Gegenstelle noch aktiv ist. Eine fehlende Implementierung eines Speicherzugriffs kann dazu führen, dass ein Angreifer bis zu 64KB aus dem Arbeitsspeicher des Gegenübers auslesen kann.

3. Welche Daten können erbeutet werden?

Der Inhalt der 64KB kann beliebige sensible Daten enthalten. Zum Beispiel Usernamen, Passwörter, Sessiondaten oder verschlüsselte E-Mails, die dann im Klartext lesbar sind. Der Angriff ist auf den betroffenen Systemen nur schwer nachzuvollziehen.

4. Wie kann der Fehler behoben werden?

Jedes System, das eine angreifbare Version von OpenSSL verwendet, benötigt einen Patch oder ein Update. Für die oben genannten Distributionen sind inzwischen Aktualisierungen verfügbar, die die Lücke schließen.

Selbst übersetzte Versionen von OpenSSL mit der Option -DOPENSSL_NO_HEARTBEATS sind nicht betroffen, die Sourcen ab 1.0.1g enthalten einen Fix.

Distributionsbezogene Updates können wie folgt eingepflegt werden:

  • CentOS/RHEL: yum -y update openssl
  • Debian apt-get update; apt-get -y install openssl libssl1.0.0

Nach Installation der Updates ist es unbedingt erforderlich, dass sämtliche Dienste des Servers neugestartet werden, oder das System direkt rebooted wird.

5. Muss ich meine SSL-Zertifikate austauschen?

Genau genommen ja. Prinzipiell war vor dem Update ein Angriffsvektor verfügbar. Daher ist es nicht ausgeschlossen, dass Daten durch Dritte abgegriffen wurden. Der Austausch eines Zertifikats wird im SSL Manager über die Funktion "Zertifikat neu ausstellen" unter Tools durchgeführt. Die Re-issues sind kostenlos. Der Austausch sollte natürlich erst nach dem Update von OpenSSL erfolgen.

6. Was kann ich meinen Kunden/Nutzern empfehlen?

Private Nutzer sollten ebenfalls auf Updates für Browser, Mailprogramme und anderen Anwendungen achten und diese gegebenenfalls unverzüglich installieren. Um auf Nummer sicher zu gehen, empfiehlt es sich, die persönlichen Passwörter (zum Beispiel von E-Mail-Accounts oder Sozialen Netzwerken) zu ändern.

Server- und Seitenbetreiber sollten außerdem auf Unregelmäßigkeiten im Verhalten ihrer Systeme achten. Mit einem Online-Tool kann außerdem das System überprüft werden.


Newsletter anmelden

InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.
Infrastructure as a Service ist die perfekte Cloud-Lösung für Unternehmen, die expandieren möchten, ohne die Vorteile einer On-Site- Infrastruktur zu…
Hans Seeuws von EURid im Podcast
Im Snapshot Podcast unterhalten wir uns mit schlauen Köpfen und klugen Unternehmer:innen zu Themen aus den Bereichen der Digitalisierung, dem Online…
It's all about domains... mit Mirjam Kühne von RIPE
Die technische Community trifft sich bei RIPE, um das Internet und seine einzigartigen Eigenschaften aufrechtzuerhalten und weiterzuentwickeln. Mirjam…
Heutzutage ist es schwierig einen guten Domainnamen zu finden, der nicht nur einprägsam ist, sondern auch zum Produkt oder zur Dienstleistung passt.…