Herzbluten: Kritische Lücke in OpenSSL ermöglicht Auslesen von Keys (CVE-2014-0160)

Am 07. April wurde in einem konzertierten Responsive Disclosure ein Bug in OpenSSL veröffentlicht mit dem das Auslesen von Speicherbereichen und womöglich von Private Keys möglich ist. Der Bug steckt in der Heartbeat-TLS-Erweiterung, die mit der Version 1.0.1 eingeführt wurde. Unglücklicherweise lässt sich diese Extension nicht per Konfigurationsoption deaktivieren.

Betroffen sind folgende Versionen:

- OpenSSL 1.0.1 bis 1.0.1f (inklusive) sind gefährdet

- OpenSSL 1.0.1g ist NICHT gefährdet

- OpenSSL 1.0.0 branch ist NICHT gefährdet

- OpenSSL 0.9.8 branch ist NICHT gefährdet

In einem ausführlichen Artikel erklärt Markus Manzke von DiWiSH-Mitglied MARE system Hintergründe, Workarounds, Analysen und in einem kurzen FAQ mögliche Implikationen für Serverbetreiber:

https://www.mare-system.de/news/secbulletin/1396939338/

Kontakt

MARE system
Markus Manzke
Werftbahnstraße 8
24143 Kiel
Tel.: 0431.55683480
E-Mail: mail@mare-system.de
Web: www.mare-system.de