KWICK! von Heartbleed verschont

von am 30. April 2014 in Community, Firma

Viele von Euch haben mitbekommen, dass am 07. April 2014 die Sicherheitslücke bekannt gegeben wurde dass die OpenSSL-Versionen 1.0.1 bis einschließlich 1.0.1f, sowie 1.0.2-beta bis einschließlich 1.0.2-beta1 vom sogenannten Heartbleed-Bug betroffen seien.

bleed-schloss-8de82d2a045e724eWas ist Heartbleed?

Der Heartbleed-Bug ist ein schwerwiegender Programmfehler in älteren Versionen der Open-Source-Bibliothek Open SSL, durch den über verschlüsselte Verbindungen private Daten ausgelesen werden können. Der Fehler betrifft die OpenSSL-Versionen 1.0.1 bis 1.0.1f und wurde  am 7. April 2014 behoben. Ein großer Teil der Internetwelt, darunter auch namhafte Websites, waren zum Zeitpunkt der Bekanntgabe des Heartbleed-Bugs für Angriffe anfällig.

Was macht Heartbleed?

Der Heartbleed-Exploit macht sich eine Schwachstelle in OpenSSL zunutze. Er funktioniert erstaunlich einfach und sehr zuverlässig.

Das Problem bei der OpenSSL-Sicherheitslücke ist, dass bei der Umsetzung der TLS-Heartbeat-Funktion nicht überprüft wurde, wie lang die empfangene Payload war. Der Absender konnte in einem Feld im Header des Payload-Paketes beliebige Werte schreiben, bis hin zu maximal 64 KByte. Entsprach dies nicht der Wahrheit  der Absender log bei der Grösse des Payload, konnte er somit den Speicher der Gegenseite auslesen. Der Angriff funktioniert in beide Richtungen. Der sogenannte Heartbeat soll es eigentlich Server und Client ermöglichen, eine TLS-Verbindung am Leben zu halten. Zu diesem Zweck sendet einer der Kommunikationspartner eine Payload mit beliebigem Inhalt an das andere Ende. Der Kommunikationspartner schickt dann exakt die selben Daten zurück, um zu zeigen, dass die Verbindung nach wie vor in Ordnung ist.

Mehr Infos hierzu.

KWICK! blieb von dieser Sicherheitslücke und Angriffen verschont. Es wurden also keine Daten kompromittiert. KWICK! bleibt weiterhin sicher wie gewohnt.

Kommentar schreiben





*

Die KWICK! Community ist ein kostenloses Social Network zum neue Leute kennenlernen. Es gibt viele Gestaltungsmöglichkeiten, jedes Mitglied führt einen eigenen Blog und es ist einfach, neue Leute zu treffen.