Wo und wie findet man eigentlich den Heartbleed-Bug?

HeartbleedDer Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Schließlich spielt SSL die wichtigste Rolle beim verschlüsselten Transfer von Daten.

Was ist SSL?

Das Kürzel SSL steht für Secure Sockets Layer, die alte Bezeichnung für Transport Layer Security (TLS) und ist ein ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.zur sicheren Übertragung von Daten. Seit Version 3.0 wird das SSL-Protokoll unter dem neuen Namen TLS weiterentwickelt und standardisiert, wobei Version 1.0 von TLS der Version 3.1 von SSL entspricht.

TLS-Verschlüsselung wird heute vor allem mit HTTPS eingesetzt. Die meisten Webserver unterstützen TLS 1.0, viele auch SSLv2 und SSLv3 mit einer Vielzahl von Verschlüsselungsmethoden, fast alle Browser und Server setzen jedoch bevorzugt TLS mit RSA– und AES– oder Camellia-Verschlüsselung ein.

Welche Versionen haben den Heartbleed-Bug?

Der Bug befindet sich in OpenSSL im Code für die Heartbeat-Erweiterung von TLS. Dieser wurde mit der Version 1.0.1 eingeführt, welche am 14. März 2012 veröffentlicht wurde. Der Bug bestand bis zur Version 1.0.1f.

Welche Programme nutzen OpenSSL?

Sehr viele Programme nutzen OpenSSL für sichere Verbindungen als Quasi-Standard. Dazu gehören auf Serverseite die Webserver Apache und nginx, gängige Mailserver wie beispielsweise Postfix oder Sendmail, die meisten FTP-Server, Jabber-Server –  sie alle und viele mehr nutzen die Kryptobibliothek.

Wie kann man testen, ob eigene Computer betroffen sind?

Es gibt reichlich Webseiten, die das Testen von Servern ermöglichen, zum Teil nur für den HTTPS-Port, zum Teil auch für andere Dienste. Auch der recht beliebte SSL-Test der Firma Qualys prüft inzwischen beim Testen auf den Heartbleed-Bug.

Außerdem sind auf Github zahlreiche Tests veröffentlicht worden, häufig genutzt ist etwa dieses Python-Testscript. Ein weiteres auf Github veröffentlichtes Script kann auch Services mit STARTTLS-Erweiterung prüfen. Auch für Client-Anwendungen gibt es inzwischen Tests in den Programmiersprachen Python und Ruby

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.