{"id":148194,"date":"2014-04-08T15:34:21","date_gmt":"2014-04-08T14:34:21","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=148194"},"modified":"2023-02-12T11:10:31","modified_gmt":"2023-02-12T10:10:31","slug":"katastrophe-openssl-mit-heartbleed-sicherheitslcke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2014\/04\/08\/katastrophe-openssl-mit-heartbleed-sicherheitslcke\/","title":{"rendered":"Katastrophe: OpenSSL mit Heartbleed-Sicherheitslücke"},"content":{"rendered":"

\"Sicherheit\"Die Open Source-Bibliothek OpenSSL weist (wegen eines Bugs) eine dicke Zero-Day-Sicherheitsl\u00fccke auf, die bisher noch nicht gepatcht ist. Brisant, weil viele OpenSource-Produkte ihre Verschl\u00fcsselung auf diese Bibliothek st\u00fctzen.<\/p>\n

<\/p>\n

Wie ZDNet.com in diesem Artikel schreibt<\/a> sind zwar nur die OpenSSL 1.0.1 und die 1.0.2-beta-release von diesem Bug betroffen. Aber die Verschl\u00fcsselungsbibliothek ist quasi in fast allen Open Source-Produkten beinhaltet. Momentan muss man davon ausgehen, dass SLL- und TLS-verschl\u00fcsselte Nachrichten unsicher sind. <\/p>\n

Bei heise.de gibt es hier noch einige Details<\/a> zum Bug, der es einem Angreifer erm\u00f6glicht, Passw\u00f6rter und weitere Informationen einzusehen. Das pikante: Die Entdecker des Heartbleed-Bugs<\/a> ver\u00f6ffentlichten die Informationen, bevor entsprechende Patches in den verwendeten Produkten verf\u00fcgbar sind. Eine vom Bug bereinigte OpenSLL-Variante ist zwar jetzt verf\u00fcgbar. Das betrifft aber nicht Produkte, die diese Bibliothek nutzen, aber bereits ausgerollt sind. <\/p>\n

So arbeiten Linux-Entwickler bei Red Hat, Debian, SuSE, Canonical, Oracle etc. momentan fieberhaft daran arbeiten, Patches f\u00fcr ihre Produkte bereitzustellen. Das Problem geht aber weiter. heise.de schreibt hier mit Recht<\/a>, dass nicht nur PCs, sondern auch Ger\u00e4te wie Smartphones oder Smart TVs betroffen seien. Mir schoss sofort der Gedanke \"und Router\" durch den Kopf \u2013 und in der Tat werden die bei heise.de auch genannt. Insbesondere bei Android-Smartphones muss man bei vielen Ger\u00e4ten davon ausgehen, dass keine Updates herauskommen. Und da tr\u00e4umen die Marketing-Strategen vom Internet der Dinge \u2013 welches sicherheitstechnisch l\u00f6chrig wie ein Emmentaler daher kommt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Open Source-Bibliothek OpenSSL weist (wegen eines Bugs) eine dicke Zero-Day-Sicherheitsl\u00fccke auf, die bisher noch nicht gepatcht ist. Brisant, weil viele OpenSource-Produkte ihre Verschl\u00fcsselung auf diese Bibliothek st\u00fctzen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[3335,4328],"class_list":["post-148194","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-openssl","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/148194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=148194"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/148194\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=148194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=148194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=148194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}