Heartbleed ist noch nicht überstanden

3. Juni 2014, 13:03
  • security
  • lücke
image

Das gravierende Sicherheitsloch in der Open-Source-Library OpenSSL sorgt weiter für Verunsicherung.

Das gravierende Sicherheitsloch in der Open-Source-Library OpenSSL sorgt weiter für Verunsicherung. Die schon seit zwei Jahren bestehende, aber erst Anfang April entdeckte Lücke ist offenbar noch in zahlreichen WLAN-Routern vorhanden.
Der Sicherheitsexperte Luis Grangeia hat in einem Proof-of-Concept gezeigt, dass Router mit älteren Versionen der Verschlüsselungssoftware anfällig sind. Das Problem liegt beim Authentifizierungsprotokoll EAP, das OpenSSL nutzt und vor allem von Firmen verwendet wird. Aus Routern mit EAP-basierter Authentifizierung lässt sich etwa der private Schlüssel auslesen. Der über den Heartbleed-Bug auslesbare Speicher könne aber auch Zertifikate oder weitere Zugangsdaten für den Angreifer offenbaren.
Grangeia kann nach eigenen Angaben nicht sagen, in wie vielen Routern noch Firmware mit unsicheren Versionen von OpenSSL läuft. Doch nicht nur WLAN-Router, auch die damit verbundenen Geräte oder Authentifizierungsserver sind gefährdet, sobald das EAP-Protokoll zum Einsatz kommt. Administratoren sollten die SSL-Zertifikate ersetzen und einen neuen Private Key verwenden. Die bisher genutzten Zertifikate sollten auf eine Sperrliste gesetzt werden. (mim)

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Cyberdefense ist keine Aufgabe des Militärs

Oded Vanunu ist einer der Chefresearcher beim israelischen Sicherheitssoftware-Anbieter Check Point. Wir haben ihn gefragt, welche Securitytrends ihm Sorge bereiten.

publiziert am 22.9.2022
image

Morgan Stanley zahlt Millionen-Strafe wegen Datenschutzverletzungen

Weil die Bank Festplatten mit Kundendaten nicht fachgerecht gereinigt und entsorgt hat, sind diese an Dritte geraten. Nun wurde das Vorgehen von der Börsenaufsicht bestraft.

publiziert am 21.9.2022
image

Geotech: "Kaspersky wurde schon 2001 komplett international aufgestellt"

Nach harten Vorwürfen versucht Kaspersky seine Reputation zu schützen. Was taugen die Massnahmen? Wir haben das Transparenzzentrum in Zürich besucht und mit Security-Fachleuten gesprochen.

publiziert am 20.9.2022 4