Foren Aktuelles Erstellen Mitglieder Anmelden

NEWS Bug in OpenSSL 1.0.1 & 1.0.2Beta - u.a. (waren) betroffen: LastPass, Adobe.com & Web.de

Benutzer, welche sich diesen Thread anschauen:

Gesamt: 1 (Mitglieder: 0, Gäste: 1)
Fergy

Fergy

Es wurde ein schwerwiegender Bug in der OpenSource-Verschlüsselungsbibliothek OpenSSL entdeckt. Der Programmierfehler erlaubt es in Version 1.0.1 und 1.0.2Beta einem Angreifer, dass er auf Schlüssel, Passwörter und andere geheime Daten zugreifen kann.

Durch eine fehlende Überprüfung eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen, heißt es im Security Advisory von OpenSSL.
Zum Vergrößern anklicken....

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.
Zum Vergrößern anklicken....

Und es sind viele Server & Dienste betroffen, die alle möglichst bald ein Update brauchen und außerdem muss der User die aktuellsten Softwareupdates für die verwendeten Programme installieren.
Das sind nicht nur Web-Server, sondern häufig auch solche für E-Mail, VPN und andere Dienste. Es ist äußerst wichtig, diese Systeme jetzt schnellstmöglichst zu sichern.
Zum Vergrößern anklicken....

Im nächsten Zug müssen natürlich auch Endanwender, die Produkte auf OpenSSL-Basis einsetzen, aktualisierte Versionen installieren. [...] Denn das Problem betrifft nicht nur PCs, sondern insbesondere auch Smartphones, SmartTVs, Router und viele andere Geräte
Zum Vergrößern anklicken....


Auf dieser Seite kann man überprüfen, ob ein Server betroffen ist.

Zu den betroffenen Diensten zählt auch LastPass, ein Onlinespeicher für Passwörter.
upload_2014-4-8_13-58-14.png

(Durch die Lücke dürften Angreifer erst einmal nur Zugriff auf die verschlüsselten User-Daten haben, so dass das Master-PW vom User darüber entscheidet, ob das was abgegriffen werden kann oder nicht.)

Doch die schlechten Nachrichten enden nicht an der Stelle: Die Lücke kann sehr einfach ausgenutzt werden, möglicherweise wurden in letzter Zeit auf dem Weg schon Daten entwendet und wenn auf Forward Secrecy verzichtet wurde, dann können gespeicherte Übertragungen im Nachhinein entschlüsselt werden, wenn der Serverschlüssel vor der Schließung der Sicherheitslücke entwendet wird.

Erste Informationen, wie der Angriff konkret auszuführen ist, tauchen bereits auf. Die Entdecker sprechen davon, der Fehler sei einfach auszunutzen.
[...]
wenn Server-Betreiber auf die so genannte Forward Secrecy verzichtet haben. [...] kann [können] im Nachhinein all diese Daten dechiffireren [werden]. Mit Forward Secrecy wäre das nicht möglich.
Zum Vergrößern anklicken....

Wer sich die Sicherheitslücke / den Programmierfehler im Code ansehen möchte: OpenSSL between v1.0.1f (broken) and v1.0.1g (now fixed) (Quelle: Steve Gibson)

Security Advisories

Quelle: http://www.heise.de/newsticker/meld...ung-im-Web-Horror-Bug-in-OpenSSL-2165517.html


Update 19:40: Die Unternehmen reagieren:
Am Vormittag waren zum Beispiel Adobe.com, Web.de, VeriSign.com, Comodo.com sowie die Site des Online-Passwortmanagers LastPass noch verwundbar. Die Unternehmen haben inzwischen allesamt reagiert.
[...]
Weiterhin anfällig ist offenbar ausgerechnet die Site des OpenSSL-Projekts.
Zum Vergrößern anklicken....
Bei den meisten Linux-Distributionen werden die abgesicherten OpenSSL-Versionen inzwischen über die Paketmanager angeboten.
Zum Vergrößern anklicken....
http://www.heise.de/newsticker/meld...Sie-Programme-und-Online-Dienste-2165995.html


Update 19:54: Die Wichtigste Entwarnungsmeldung des Tages
nofix schrieb:
Gerade ein Server Update eingespielt, KT ist jetzt auch nicht mehr betroffen.
Zum Vergrößern anklicken....
:hurra:


Update 09.04: Teilweise katastrophalen Folgen:
Bei einer Überprüfung der laut Alexa 10.000 meistbesuchten Websites erlaubten 628 Server intime Einblicke in ihren Arbeitsspeicher. [...] wie etwa die HypoVereinsbank, Yahoo, Flickr, Kaspersky, der Zahlungsabwickler AfterBuy, Yahoo, Sparkasse.at, BitTorrent sowie viele mehr.
[...]
Besonders bitter ist allerdings, dass bei Stichproben am Mittwochnachmittag zahlreiche Dienste noch immer verwundbar waren.
Zum Vergrößern anklicken....
Grundsätzlich muss man alle vertraulichen Daten, die über die Server gelaufen sind, als kompromittiert betrachten. Ein Angreifer bekommt die sensiblen Daten dabei auf dem Silbertablett serviert
Zum Vergrößern anklicken....
Es sind auch schon erste Fälle von Missbrauch bekannt. So hat etwa Ars Technica all seine Leser aufgefordert, ihre Passwörter zu ändern, nachdem sich die Fälle gehackter Accounts häuften.
Zum Vergrößern anklicken....
http://www.heise.de/newsticker/meld...Luecke-mit-katastrophalen-Folgen-2166861.html


Ergänzung 11.04: Spionage-Botnet [vermutlich der Geheimdienste] nutzte Heartbleed-Lücke schon vor Monaten aus
Die fatale Heartbleed-Lücke in OpenSSL wird möglicherweise schon seit Monaten ausgenutzt. Der Gründer der niederländischen Firma MediaMonks hat bereits im November vergangenen Jahres verdächtige SSL-Handshakes aufgezeichnet, bei denen der Heartbleed-Angrifffscode genutzt wurde
[...]
Dieses wurde bislang genutzt, um systematisch Unterhaltungen in IRC-Netzwerken aufzuzeichnen. Nach Einschätzung der EFF ist dies ein Indiz dafür, dass es sich eher um einen Geheimdienst als um Cyber-Kriminelle mit kommerziellen Interessen handelt.
Zum Vergrößern anklicken....

Unterdessen geht die Anzahl der immer noch verwundbaren Server zurück. Bei einer erneuten Überprüfung der 10.000 meistbesuchten Websites am Donnerstagnachmittag waren 150 anfällig. Zwei Tage zuvor war noch die vierfache Menge angreifbar.
Zum Vergrößern anklicken....
http://www.heise.de/newsticker/meld...eed-Luecke-schon-vor-Monaten-aus-2167934.html
 

Anhänge

  • Logo.png
    Logo.png
    142,2 KB · Aufrufe: 76
Zuletzt bearbeitet:
Ist lastpass denn jetzt betroffen oder nicht? Bei dem Link von dir steht (mittlerweile!?), dass lastpass nicht betroffen ist :?

Und... was macht man jetzt? :ugly:
 
Die Unternehmen reagieren zumindest jetzt mal schnell:
Am Vormittag waren zum Beispiel Adobe.com, Web.de, VeriSign.com, Comodo.com sowie die Site des Online-Passwortmanagers LastPass noch verwundbar. Die Unternehmen haben inzwischen allesamt reagiert.
[...]
Weiterhin anfällig ist offenbar ausgerechnet die Site des OpenSSL-Projekts.
Zum Vergrößern anklicken....
Bei den meisten Linux-Distributionen werden die abgesicherten OpenSSL-Versionen inzwischen über die Paketmanager angeboten.
Zum Vergrößern anklicken....
http://www.heise.de/newsticker/meld...Sie-Programme-und-Online-Dienste-2165995.html
 
Noch ein Update:
Teilweise katastrophalen Folgen:
Bei einer Überprüfung der laut Alexa 10.000 meistbesuchten Websites erlaubten 628 Server intime Einblicke in ihren Arbeitsspeicher. [...] wie etwa die HypoVereinsbank, Yahoo, Flickr, Kaspersky, der Zahlungsabwickler AfterBuy, Yahoo, Sparkasse.at, BitTorrent sowie viele mehr.
[...]
Besonders bitter ist allerdings, dass bei Stichproben am Mittwochnachmittag zahlreiche Dienste noch immer verwundbar waren.
Zum Vergrößern anklicken....
Grundsätzlich muss man alle vertraulichen Daten, die über die Server gelaufen sind, als kompromittiert betrachten. Ein Angreifer bekommt die sensiblen Daten dabei auf dem Silbertablett serviert
Zum Vergrößern anklicken....
Es sind auch schon erste Fälle von Missbrauch bekannt. So hat etwa Ars Technica all seine Leser aufgefordert, ihre Passwörter zu ändern, nachdem sich die Fälle gehackter Accounts häuften.
Zum Vergrößern anklicken....
http://www.heise.de/newsticker/meld...Luecke-mit-katastrophalen-Folgen-2166861.html
 
Ergänzung 11.04:
Spionage-Botnet [vermutlich der Geheimdienste] nutzte Heartbleed-Lücke schon vor Monaten aus
Die fatale Heartbleed-Lücke in OpenSSL wird möglicherweise schon seit Monaten ausgenutzt. Der Gründer der niederländischen Firma MediaMonks hat bereits im November vergangenen Jahres verdächtige SSL-Handshakes aufgezeichnet, bei denen der Heartbleed-Angrifffscode genutzt wurde
[...]
Dieses wurde bislang genutzt, um systematisch Unterhaltungen in IRC-Netzwerken aufzuzeichnen. Nach Einschätzung der EFF ist dies ein Indiz dafür, dass es sich eher um einen Geheimdienst als um Cyber-Kriminelle mit kommerziellen Interessen handelt.
Zum Vergrößern anklicken....

Unterdessen geht die Anzahl der immer noch verwundbaren Server zurück. Bei einer erneuten Überprüfung der 10.000 meistbesuchten Websites am Donnerstagnachmittag waren 150 anfällig. Zwei Tage zuvor war noch die vierfache Menge angreifbar.
Zum Vergrößern anklicken....
http://www.heise.de/newsticker/meld...eed-Luecke-schon-vor-Monaten-aus-2167934.html
 

Ähnliche Themen

Fergy
NEWS Android: Sicherheitslücken in WebView|kein Fix von Google|61% der Geräte (alles < 4.4) betroffen
Fergy
Antworten
14
Aufrufe
1K
Gelöschte Mitglieder 5700
G
Fergy
NEWS Chip.de-Forum-Hack - möglicherweise bis zu 2,5 Mio. Accounts betroffen - Passwörter ändern!
Fergy
Antworten
5
Aufrufe
1K
Gigabyte
Gigabyte
Zurück
Oben