Herzbluten: Kritische Lücke in OpenSSL ermöglicht Auslesen von Keys (CVE-2014-0160)

DiWiSH-Mitglied MARE system informiert

Am 07. April wurde in einem konzertierten Responsive Disclosure ein Bug in OpenSSL veröffentlicht mit dem das Auslesen von Speicherbereichen und womöglich von Private Keys möglich ist. Der Bug steckt in der Heartbeat-TLS-Erweiterung, die mit der Version 1.0.1 eingeführt wurde. Unglücklicherweise lässt sich diese Extension nicht per Konfigurationsoption deaktivieren.

Betroffen sind folgende Versionen:

- OpenSSL 1.0.1 bis 1.0.1f (inklusive) sind gefährdet

- OpenSSL 1.0.1g ist NICHT gefährdet

- OpenSSL 1.0.0 branch ist NICHT gefährdet

- OpenSSL 0.9.8 branch ist NICHT gefährdet

In einem ausführlichen Artikel erklärt Markus Manzke von DiWiSH-Mitglied MARE system Hintergründe, Workarounds, Analysen und in einem kurzen FAQ mögliche Implikationen für Serverbetreiber:

https://www.mare-system.de/news/secbulletin/1396939338/

 

Kontakt

MARE system
Markus Manzke
Werftbahnstraße 8
24143 Kiel
Tel.: 0431.55683480
E-Mail: mail@mare-system.de
Web: www.mare-system.de

Zurück

Weitere News

Fachgruppe New Work diskutiert zu Digital Efficiency

Vergangene Woche traf sich unsere Fachgruppe New Work in der Modern Workplace Factory

...

Weiterlesen …

Nichts mehr verpassen

Alle 14 Tage Neuigkeiten und regelmäßig Termine
aus der digitalen Szene Schleswig-Holsteins erhalten