Zero-Day Open-SSL-Sicherheitsanfälligkeit #heartbleed behoben, aber ist Ihr Server wirklich sicher? Jetzt überprüfen

Sicherheitsforscher haben einen extrem kritischen und hochriskanten Fehler in der kryptografischen Softwarebibliothek namens OpenSSL entdeckt. OpenSSL wird von etwa zwei Dritteln der Webserver verwendet, um sich gegenüber Endbenutzern zu identifizieren und das Leaken oder Ausspähen von Passwörtern, Bankdaten und anderen sensiblen Daten zu verhindern. Potenzielle Cyberkriminelle und Angreifer, die die Sicherheitsanfälligkeit ausnutzen können, können alle Daten überwachen, die zwischen einem Dienst und einem Client übertragen werden, oder historische verschlüsselte Daten mit krimineller Absicht entschlüsseln. Viele moderne Betriebssysteme verwenden anfällige Versionen von Open SSL, darunter Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 und OpenSUSE 12.2. Darüber hinaus verwenden zwei der am weitesten verbreiteten Webserver, Apache und nginx, sowie die meisten E-Mail-Server und Chat-Dienste, VPN usw. diese Codebibliothek. Abgesehen von den oben genannten sind die meisten Geräte, die eingebettetes Linux verwenden, wie Router usw., ebenfalls anfällig für diese Sicherheitsanfälligkeit.

Der Fehler, der seit Dezember 2011 in den Produktionsversionen von OpenSSL vorhanden war, könnte bedeuten, dass Hacker/Angreifer den privaten Verschlüsselungsschlüssel in den digitalen Zertifikaten wiederherstellen könnten. Dies könnte dann verwendet werden, um die Daten zu authentifizieren, die zwischen den Servern und den Endbenutzern übertragen werden, was es Cyberkriminellen erleichtert, fast alle Benutzeranmeldeinformationen wie E-Mail-Adressen, Passwörter, Bankbenutzernamen und Passwörter usw. auszunutzen. Der Fehler hinterließ keine Spuren des Angriffs in den Serverprotokollen, sodass niemand wissen konnte, ob ihre Server kompromittiert waren, noch wussten die Endbenutzer, ob sie einem Identitätsdiebstahl ausgesetzt waren.

• Die Ankündigung des Fehlers in OpenSSL fiel mit der Veröffentlichung von Version 1.0.1g von Open SSL zusammen. Es wurde der Spitzname ‘Heartbleed’ gegeben, um zu betonen, dass der Fehler tatsächlich im Herzen von OpenSSL lag. Die alten Versionen von OpenSSL, nämlich 1.0.1 bis 1.0.1f, mit zwei Ausnahmen: OpenSSL 1.0.0-Zweig und 0.9.8, sind weiterhin anfällig.*

• CloudFlare, ein CDN-Dienstanbieter, erklärte in seinem Blog, dass er bereits über die Sicherheitsanfälligkeit informiert war und daher Schritte unternommen hat, um eine Kompromittierung der von CloudFlare unterstützten Server zu verhindern.*

Heute wurde eine neue Sicherheitsanfälligkeit in OpenSSL 1.0.1 angekündigt, die es einem Angreifer ermöglicht, bis zu 64 kB Speicher an einen verbundenen Client oder Server offenzulegen (CVE-2014-0160). Wir haben diese Sicherheitsanfälligkeit letzte Woche behoben, bevor sie öffentlich gemacht wurde. Alle Websites, die CloudFlare für SSL verwenden, haben diesen Fix erhalten und sind automatisch geschützt.

Ein Sicherheitsanalyst, Jared Stafford, hat einen Python-Testcode für diese Sicherheitsanfälligkeit veröffentlicht. Die PDF-Datei des Python-Testers ist unten zu Ihrer Referenz angegeben.

Zusätzlich können Sie auch https://filippo.io/Heartbleed/ besuchen, um zu überprüfen, ob Ihr Server anfällig für diesen Zero-Day-Bug ist. Für weitere Informationen können Sie die Github-Seite hier besuchen, die sich mit Heartbleed oder der Heartbleed-Seite befasst.

*Update: Sobald die Sicherheitsanfälligkeit online veröffentlicht wurde, hat das Internet begonnen, Lecks zu bluten. Hunderte der tausend besten Websites, einschließlich Yahoo, Microsoft, Ubuntu, FBI, Bank-Websites, Regierungswebsites und Zahlungsgateways, wurden als anfällig befunden, und Hacker haben bereits begonnen, Benutzeranmeldeinformationen von vielen der Websites anzugreifen und zu leaken.*

• • Einige andere Websites, darunter eBay, waren schnell und haben die Sicherheitsanfälligkeit behoben, um sich vor dem Lecken der Benutzeranmeldeinformationen zu schützen. Mehrere andere Websites gehen offline, um die Sicherheitsanfälligkeit zu beheben. Wenn Sie also sehen, dass einige der großen Websites in den nächsten Stunden wegen Wartungsarbeiten offline gehen, ist das kein großes Problem, es sei denn, Lecks von ihrem Server gehen vorher online.
• • Der beste Weg, um sicher zu bleiben, ist, sich nicht bei einem Online-Dienst anzumelden, der anfällig für Heartbleed ist, bis der Systemadministrator es behoben hat.