OpenSSL-Lücke Heartbleed: Update
Nach ein paar turbulenten Tagen um den Heartbleed-Bug in bestimmten OpenSSL-Versionen, glätten sich langsam die Wogen und es kamen noch einige interessante Fakten zu Tage, die wir Euch nicht vorenthalten wollen.
Fehlerkorrektur
Anders als früher behauptet, lassen sich nur maximal 16KByte gemäss RFC zurückmelden, anstatt den ursprünglich geschriebenen 64KByte. Und der Fehler lässt sich nicht nur bei Servern ausnutzen, sondern auch bei Clients, d.h. er funktioniert in beide Richtungen.
Smartphones kaum betroffen
Alle grossen Smartphone-Plattformen in der aktuellen Version sind nicht anfällig, nur Android 4.1.1 fällt mir einer betroffenen OpenSSL-Variante aus dem Rahmen.
Haupt-Browser sind sicher
Da weder Chrome, Internet Explorer, Firefox noch Safari zurzeit auf OpenSSL setzen, geht von ihnen keine Heartbleed-Gefahr aus.
Botnet & Exploits
Allerdings scheint offenbar schon seit November vergangen Jahres ein grösseres Botnet diese Lücke aktiv auszunutzen. Ob dieses einem Staat gehört oder einer kriminellen Bande ist nicht bekannt. Zudem hat ein Versuch des US-Unternehmen CloudFlare mit einem verwundbaren Server und externen Testern gezeigt, dass zurzeit im besten Fall nur noch 100‘000 Serveranfragen benötigt werden, um an den geheimen Zertifikatschlüssel zu gelangen.
Wer also bis anhin noch gezögert hatte, sollte seine Zertifikate spätestens jetzt austauschen und danach alle über diese Verbindungen verwendeten Passwörter ändern.
Weiterführende Links:
Network Working Group: Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension
Heise Security: Smartphones vom SSL-GAU (fast) nicht betroffen
Heise Security: Spionage-Botnet nutzte Heartbleed-Lücke schon vor Monaten aus
CloudFlare: The Results of the CloudFlare Challenge
aspectra: OpenSSL-Lücke Heartbleed: Was tun?