OpenSSL Sicherheitslücke

www.heise.de 10.04.2014 4stern

Viele Webseiten sind angreifbar, durch Fehler in der Verschlüsselung!

OpenSSL wird für die verschlüsselte Verbindung im Internet eingesetzt, z.B. WebServer, MailServer und andere Dienste. Man erkennt es an der Adresse https und kleinen meist grünen Symbolen im Browser. In der aktuellen Version 1.0.1 kann jeder durch ein Fehler, ein Teil des Speicherbereichs im Server auslesen, in den z.B. Passwörter liegen können.

Leider ist die Version 1.0.1g noch nicht sehr verbreitet und laut dieser Untersuchung gibt es eine Reihe von prominenten Websites die noch angreifbar sind.

Zum Beispiel:

  • yahoo.com
  • kaspersky.com
  • steamcommunity.com
  • stackexchange.com
  • flickr.com
  • stackoverflow.com
  • rapidshare.com
  • skrill.com
  • zdf.de

Besonders schlecht ist es natürlich bei Seiten die Informationen über Geldsysteme speichern. Grundsätzlich ist es aber überall schlecht, da die meisten Benutzer überall die selben oder ähnliche Passwörter verwenden. Dass heißt das abgegriffene Passwort von einem kleineren Dienst, führt mit hoher Wahrscheinlichkeit auch in das Mail-Konto oder in Bezahlsysteme wie zum Beispiel PayPal. Darum nochmal der Hinweis: Ändert die Passwörter so oft es geht!

Für die technisch Interessierten, verweise ich gerne auf den Artikel von Fefe zu diesem Thema. Sehr schöne Beschreibung wie der Bug zustande gekommen sein könnte. Das Prozess-Problem und dem daraus resultierenden Qualitätsmängeln kennt sicher jeder Entwickler.