Entwickler beheben kritische Lücke in OpenSSL

Vergangenes Jahr hat der in OpenSSL gefundene Heartbleed-Bug für Furore im Internet gesorgt. Angreifer konnten damals Teile des Hauptspeichers eines OpenSSL-Servers auslesen und dabei den privaten Schlüssel des Server-Zertifikats sowie Benutzernamen und Passwörter erbeuten. Genau diese sollen durch SSL (Secure Sockets Layer) beziehungsweise den Nachfolger TLS (Transport Layer Security), etwa beim Online-Banking, eigentlich geschützt werden.

Die neue Lücke CVE-2015-1793 mit dem Spitznamen OprahSSL ermöglicht es nach Angaben der Entwickler, Server-Zertifikate für beliebige Domains zu fälschen. Der Fehler findet sich in den OpenSSL-Versionen 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o. Mit einem gefälschten Zertifikat kann ein Angreifer sich etwa als Postbank ausgeben. Der Browser warnt den Besucher der gefälschten Seite dann nicht mehr.

Die Entwickler haben bereits Patches für OpenSSL bereitgestellt. Nutzern der Versionen 1.0.2b oder 1.0.2c empfehlen sie ein Update auf OpenSSL 1.0.2d. Nutzer von 1.0.1n beziehungsweise 1.0.1o sollten umgehend auf 1.0.1p aktualisieren.

Problematisch ist, dass nicht nur OpenSSL-Server im Internet betroffen sind, sondern unter Umständen auch das private Heimnetz. Denn auch Router, NAS-Server und andere Netzwerkgeräte nutzen die OpenSSL-Bibliothek zur Verschlüsselung von Internetverbindungen. Anwender sind hier aber oft auf den Hersteller der jeweiligen Hardware angewiesen, um ein Update zu erhalten.

Der Bug wurde von Adam Langley und David Benjamin von der OpenSSL-Abspaltung BoringSSL gefunden. Von BoringSSL stammt auch das Update. Dem Vernehmen nach wurde der fehlerhafte Quellcode erst Anfang des Jahres zu OpenSSL hinzugefügt. Deswegen sind ältere Versionen der SSL-Implementierung auch nicht betroffen.