Melani gibt Empfehlungen für Schwachstelle in OpenSSL

Melani gibt Empfehlungen für Schwachstelle in OpenSSL

10. April 2014 - In OpenSSL wurde eine Sicherheitslücke entdeckt, die Angreifern den Zugang zum Speicher eines Servers ermöglicht. Melani gibt Service-Providern nun Empfehlungen dazu ab, wie sie sich am besten davor schützen.
Die Melde- und Analysestelle Informationssicherung, Melani, hat sich zu einer Sicherheitslücke in OpenSSL 1.0.1 und 1.0.2 Beta geäussert, über die Angreifer Zugang zum Speicher eines Servers und somit Nutzerdaten wie Passwörter erlangen können. Betroffen sind unter anderem Mail Provider und Finanzinstitute sowie Webshops oder Krankenkassenportale und Webportale, die über ein verschlüsseltes Login verfügen. Daneben sind aber auch Browser-basierte, verschlüsselte Dienste wie Smartphone-Apps, Chat- und Streaming-Dienste sowie Coud-Speicher und VPN-Zugänge nicht vor dem Sicherheitsleck gefeit, wie Melani warnt.

Aus diesem Grund rät Melani Service Providern, das entsprechende Update innerhalb der nächsten 24 bis 48 Stunden zu installieren und bei heiklen Diensten zusätzlich die Zertifikate und Zugangsdaten auszuwechseln. Zudem empfiehlt Melani, Dienste wenn irgendwie möglich vorübergehend einzustellen. Ausserdem könne das Sicherheitsproblem umgangen werden, indem ein Grossteil des betroffenen Netzverkehrs über zentrale Access-Systeme geleitet wird. Auch müsse beim Einsatz neuer Software-Versionen die Unterstützung von Perfect Forward Secrecy sichergestellt werden, da ohne diese Angreifer in der Lage sind, aufgezeichneten Traffic auch zu einem späteren Zeitpunkt zu entschlüsseln.

Für die Endbenutzer sei es derweil schwieriger, sich zu schützen. Eine Variante sei, sämtliche Passwörter für die betroffenen Dienste nach der Schliessung der Sicherheitslücke zu ändern. Zudem sollen NAS-Speicher und Router mit Sicherheitsaktualisierungen geschützt werden. (af)

Kommentare

Samstag, 12. April 2014 müller Peter
Die Leute von Melani sind komplett ahnungslos. Die Software Chaoten von Openssl haben weder brauchbare Test noch Designverfahren. Apple Computer hat die Openssl Bibliotheken ab Version 10.7 aus den iOS und OS X Umgebungen eliminiert. Die Leute von Openssl haben wiederholt Formate und Verfahren geändert - so dass Apple Applikationen welche die entsprechenden API ansprechen nicht funktioniert haben. Bis Version 10.6 wird Openssl 0.98 verwendet welche den Fehler nicht kennt. Die Leute von Melanie würden besser allen Banken und Versicherungen eine maximale Frist von 12 Monaten einräumen um sich komplett von Openssl zu verabschieden. Dies dürfte auch viele Web Server wie Apache aber auch Virtuose z.B betreffen falls da nicht ein Ersatzprodukt vorhanden ist.

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER