Kritische SSL-Sicherheitslücke Heartbleed erschüttert die Welt

Die Information diesen Morgen schlug ein, wie eine Bombe: Über einen kritischen Bug in einer weltweit eingesetzten SSL-Software lassen sich unter Umständen die für die Verschlüsselung verwendeten SSL-Keys auslesen. Aus Verschlüsselungssicht ist das der Super-GAU, können damit prinzipiell die verschlüsselten Verbindungen dechiffriert werden.

Betroffen sind sehr viele derzeit eingesetzte Server-Systeme mit den openssl-Versionen 1.0.1 bis 1.0.1f – Administratoren überall auf der Welt sind fieberhaft mit dem Einspielen korrigierter Softwareversionen beschäftigt, die zum Glück bereits größtenteils verfügbar sind.

Auch einige Systeme der JPBerlin waren von dem Bug betroffen. Neue Versionen wurden sofort nach Bekanntwerden des Problems von unserem Admin-Team eingespielt.

Die Sicherheitslücke besteht bei uns nicht mehr!

Allerdings setzt die JPBerlin seit jeher konsequent auf “Perfect Forward Secrecy” (PFS), eine besondere Technik, mit der für jede SSL-Verbindung ein individueller Sitzungsschlüssel verwendet wird. Dies soll verhindern, dass eine einmal aufgezeichnete Verbindung nachträglich decodiert werden kann, wenn der Schlüssel bekannt wird — also genau ein Schutz vor dem GAU, der jetzt passiert ist.

Die Systeme der JPBerlin waren darum ebenso wie alle anderen von dem Problem betroffen, die möglichen Auswirkungen halten sich bei uns jedoch Dank PFS in Grenzen. Schön ist die Sache trotzdem nicht.

Weitere Links: Technische Dokumentation, Heartbleed-Tester

  • 8. April 2014

  • I. Heinlein

  • Keinen Kommentar


Kommentar abgeben

Sie müssen eingeloggt sein um zu kommentieren.