Mehrere Versionen der OpenSSL-Bibliothek weisen eine äußerst schwerwiegende Sicherheitslücke auf. Der Fehler betrifft die Überprüfung von Speicherzugriffen. Angreifer könnten ohne Spuren zu hinterlassen Teile des Hauptspeichers auslesen und dabei den privaten Schlüssel des Serverzertifikats, Benutzernamen und Passworte erbeuten.
Der
Heartbleed Bug genannte Programmierfehler steckt im Quelltext der Heartbeat-Erweiterung von TLS, die zum Austausch von Statusinformationen verwendet wird. Betroffen sind Server mit SSL-Verschlüsselung - dazu zählen allerdings nicht nur Webserver, sondern auch E-Mail-Server, VPN-Server oder Router und NAS-Server, die OpenSSL zur Verschlüsselung von Fernzugriffen verwenden.
Laut den Sicherheitsexperten von Codenomicon, die den Fehler ebenso wie ein Google-Sicherheitsteam entdeckten, sind nicht alle Versionen der OpenSSL-Bibliothek vom Heartbleed Bug betroffen. Gefährdet sind insbesondere die neueren Versionen der Verschlüsselungssoftware:
Ob ein Server vom Heartbleed Bug betroffen ist, lässt sich inzwischen auch mit zwei Online-Tests prüfen. Die Heartbleed Tests von
Possible.lv und
Filippo.io zeigen nicht nur Administratoren sondern auch Nutzern sicherheitskritischer Online-Dienste, ob ein Server von der Sicherheitslücke betroffen ist. Gefährdete Systeme sollten selbstverständlich schnellstmöglich gesichert werden.
Der Heartbleed Bug betrifft nicht nur Server im Internet, sondern auch das Heimnetz. Auch Router, NAS-Server und andere Netzwerkgeräte nutzen die OpenSSL-Bibliothek zur Verschlüsselung von Internetverbindungen.
Die weit verbreiteten Router-Modelle der Fritzbox-Serie von AVM sind vom Heartbleed Bug nicht betroffen. Die Fritzbox-Router und auch die Fritz WLAN Repeatern verwenden OpenSSL 0.9.8 und diese Version ist von der Sicherheitslücke nicht betroffen.