Boehrsi.de - Blog

Die Verschlüsselungsbibliothek OpenSSL wird von vielen eingesetzt, egal ob großer Anbieter oder kleiner Betreiber einer Website, so wie ich. Mit Hilfe dieser Bibliothek können Secure Sockets Layer (SSL v2/v3) und Transport Layer Security (TLS v1) genutzt werden und darüber hinaus wird eine komplette Crypto-Bibliothek mitgeliefert. Die Software ist OpenSource und allgemein sehr beleibt, was aktuell aber ein Problem darstellt. Denn in den Versionen 1.0.1 und 1.0.2-beta inklusive 1.0.1f und 1.0.2-beta1 existiert ein Bug, welcher das auslesen des Speichers des Kommunikationspartners ermöglicht (via Heise.de open_in_new). Greift man hier den privaten Schlüssel ab, kann man im schlimmsten Fall alle verschlüsselten Daten des Gegenübers dekodieren. Verschiedene Hilfsmittel gibt es um solchen Problem vorzubeugen (Stichwort: Forward Secrecy open_in_new) aber wer aktuell betroffen ist (hier testen open_in_new) sollte das Paket schnellsten aktualisieren. Die meisten dürften bereits über die aktuellen Paketquellen das Update erhalten. Alle anderen finden im Security Advisory zum Heartbeat overflow issue open_in_new eine Alternative, diese baut die Bibliothek mit anderen Parametern neu, sodass der Fehler nicht mehr auftritt. Ein Lob muss ich abschließend noch an Strato aussprechen, denn die Paketquellen für meinen Server waren alle bereits aktuell und nach einem normalen Aktualisieren war die Seite wieder gesichert.