Compyblog

Unerfreuliche Meldung von der Nacht zu Mittwoch: OpenSSL hat seit bummelig zwei Jahren ein Sicherheitsloch, bei dem mit eingeschalteter 'Heartbeat'-Funktion ein Angreifer vom Server Speicherinhalte abzapfen konnte, und dabei so ziemlich alles, was der OpenSSL-Prozess im Speicher sehen kann, mitnehmen. Da fallen so Kleinigkeiten wie private Schlüssel, Passworte und alle anderen Daten drunter. Die Entdecker haben dem Fehler den Namen Heartbleed verpasst, und jetzt hat so ziemlich jeder ein Problem, der OpenSSL einsetzt, was irgendwann in den letzten zwei Jahren auf einer der zu dem Zeitpunkt aktuellsten Versionen aktualisiert wurde. Wer auch ein Problem hat: Wer Dienste von jemandem benutzt, der so betroffen ist. Dort eingesetzte Passworte sind möglicherweise (und seit Snowden wissen wir: Höchstwahrscheinlich) schon in den Händen von sonstwem. Die Serverbetreiber können jetzt nur ihre privaten Schlüssel und Passworte wegwerfen, auf die gefixte Version aktualisieren und sich bei allen Nutzern entschuldigen. Ob wirklich Daten über das Loch aus einem Server rausgetragen wurden, lässt sich gemeinerweise nicht nachvollziehen, weil der Zugriff nirgendwo erwähnt wird. Also genau die Sorte Sicherheitsloch, die ein Geheimdienst einbauen wollen würde.