Entwarnung für „Heartbleed 2“

Nach dem Supergau Heartbleed weist die weit verbreitete OpenSSL-Bibliothek erneut eine kritische Sicherheitslücke auf. Dieses Mal kam jedoch rasch die Entwarnung.

Zur Erinnerung: Der damalige Programmierfehler wurde von Krypto-Guru Bruce Schneier als katastrophaler Fehler der Stufe 11 auf einer Skala von 1 – 10 bezeichnet. Heartbleed erlaubte es, Passwörter, Daten, sowie geheime Schlüssel auszulesen. Circa zwei Drittel der Server waren davon betroffen. Denn sehr viele Programme benutzen diese Kryptobibliothek.

Die aktuelle Sicherheitslücke trat im Rahmen des Juni-Updates auf und bekam die Kennung CVE-2015-1793. Scheitert OpenSSL beim Validieren einer Zertifikatskette, versucht das Programm erneut den Aufbau einer Zertifikatskette, ohne dabei jedoch die Zertifikatseigenschaften korrekt zu prüfen. Gewöhnliche Zertifikate fungieren in der Stelle als Zertifizierungsstelle und jeder mit gültigem Zertifikat kann nun scheinbar gültige Zertifikate ausstellen. Google-Entwickler David Benjamin entdeckte den Fehler.

Laut Meldung eines OpenSSL-Entwicklers ist das Problem jedoch bereits behoben. Außerdem sei die Sicherheitslücke nicht so gravierend gewesen, da bei den Servern die betroffenen Client-Zertifikate kaum eingesetzt werden. Unabhängig davon ist trotzdem das Update auf die aktuellste Version anzuraten, verfügbar als Download auf der offiziellen Website.