Großes Schadenspotenzial durch "Heartbleed"

[CaptainSangria]

http://help.orf.at/stories/1736599/

Sicherheitsexperten warnen vor einem fatalen Fehler in der weit verbreiteten Verschlüsselungssoftware OpenSSL. "Heartbleed" ermöglicht es, auf den Hauptspeicher des jeweiligen Systems zuzugreifen und heikle Userdaten wie etwa Passwörter auszuspähen. Auch Österreich ist von der Lücke massiv betroffen.

[Christoph]

Zur Info:

Wichtige Fragen und Antworten zu Heartbleed

[Christoph]

SSL-Gau: So testen Sie Programme und Online-Dienste

Zitat:

Die Veröffentlichung der folgenschweren Heartbleed-Lücke hat viele Dienste eiskalt erwischt – darunter Adobe, LastPass, Web.de und sogar VeriSign. Anwender können online überprüfen, ob die von ihnen genutzten Dienste bereits geschützt sind.
.....

Dienste checken

Mit zwei Prüfdiensten können Sie herausfinden, ob die von Ihnen genutzten Dienste noch verwundbar sind, nämlich mit filippo.io/Heartbleed und possible.lv/tools/hb. Darüber hinaus gibt es vom gleichen Autor das Go-Script Heartbleed, mit dem man diese Tests auch lokal durchführen kann. Das Perl-Skript check-ssl-heartbleed.pl kann sogar Mail-Server mit starttls testen. Update vom 9. April, 9:45 Uhr: Inzwischen gibt es auch Testmodule für Metasploit, Nmap, OpenVAS und Nessus sowie ein passendes xkcd.

Bei den meisten Linux-Distributionen werden die abgesicherten OpenSSL-Versionen inzwischen über die Paketmanager angeboten. Manche Programme wie etwa das Apache-SPDY-Modul installieren sich aber auch ihre eigenen Bibliotheken. Um das zu überprüfen, kann man sich die aktuell im System aktiven Bibliotheken unter Linux mit dem Befehl lsof | grep libssl anzeigen lassen. Dabei erscheint dann zum Beispiel etwas wie:

apache2 ... /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0
vmware ... /usr/lib/vmware/lib/libssl.so.0.9.8/libssl.so.0.9.8

Inzwischen musste Sophos einräumen, dass auch die UTM-Appliances (früher Astaro) für die Lücke anfällig sind. Ein Sicherheits-Patch ist noch in Arbeit. Es gibt aber auch eine gute Nachricht: OpenSSH ist dem ersten Anschein nach nicht betroffen. Es verwendet zwar die Basis-Krypto-Funktionen von OpenSSL, nutzt aber nicht die anfälligen TLS-Funktionen. (rei)

Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...e-2165995.html

Und: https://www.ssllabs.com/ssltest/

[Christoph]

Heartbleed-Lücke: Vorsichtige Entwarnung auf Client-Seite

Zitat:

Zwar gibt es sehr viele Programme, die die verwundbare Bibliothek OpenSSL einsetzen. Doch die größten potenziellen Einfallstore, nämlich die Browser, sind offenbar nicht betroffen.

Der Heartbeat von OpenSSL funktioniert in beide Richtungen; folglich könnte ein böser Server über die Heartbleed-Lücke auch Clients ausspionieren. Doch die meisten Windows-Programme und die großen Browser benutzen OpenSSL erst gar nicht. Und auch bei den Programmen, die es tun, hält sich das Risiko in Grenzen.

Windows bietet eine eigene Krypto-Infrastruktur namens Secure Channel (SChannel), die die meisten Windows-Programme nutzen, auch wenn sie nicht von Microsoft stammen. SChannel hat nichts mit OpenSSL zu tun und ist folglich auch nicht für Heartbleed anfällig. Mozilla pflegt ebenfalls eine eigene Krypto-Bibliothek, die Netscape Security Services (NSS). Durch deren Nutzung sind Firefox und Thunderbird ebenfalls außen vor. Google Chrome setzt ebenfalls auf NSS; den bereits geplanten Umstieg von NSS auf OpenSSL wird man sich dort jetzt wohl nochmal überlegen.

OpenSSL im Open-Source-Umfeld
.....

Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...e-2168698.html

c't Bankix 12.04.4 mit Heartbleed-Bugfix

Zitat:

Auch wenn der Heartbleed-SSL-Bug hauptsächlich Server betrifft, könnten Angreifer versuchen, die Lücke auf Clients auszunutzen. Deshalb wurde c't Bankix 12.04.4 aktualisiert. Wer es bereits nutzt, bekommt den Bugfix via Online-Update.

Die fehlerhafte Längenprüfung in der Hearbeat-Funktion von OpenSSL, bekanntgeworden unter dem Namen Heartbleed-Bug, betrifft nicht ausschließlich Server: Die Bibliothek ist auch Bestandteil der meisten Linux-Distributionen, darunter auch c't Bankix. Wer als Anwender ein Programm startet, das diese Bibliothek für verschlüsselte Verbindungen benutzt, macht sich somit theoretisch angreifbar. Daher haben wir vorsorglich c't Bankix 12.04.4 aktualisiert und ältere, potenziell verwundbare Versionen aus dem Download-Bereich entfernt.

Grund zur Panik besteht jedoch nicht: ........

Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...x-2168715.html