Die vor kurzem bekanntgewordene Sicherheitslücke bei der verschlüsselten Übertragen von Daten von und zum Web- oder Mailserver ermöglicht das Auslesen der übertragenen Daten.
Damit können Angreifer die an sich verschlüsselten Daten (wie zum Beispiel Benutzernamen, Passwörter, Konto- & Kreditkartendaten oder E-Mail-Inhalte) durch direkten Speicherzugriff im Klartext auslesen.
Da die OpenSSL-Bibliotheken zum quasi-Standard vieler Linux-Distributionen gehören, ist die Verbreitung des Bugs weltweit massiv und der anzunehmende Schaden dementsprechend immens.
Aufgrund der technischen Position der Sicherheitslücke ist es nicht möglich herauszufinden, ob die Lücke in einem Webserver bereits ausgenutzt wurde.
Ich habe den heutigen Tag damit zugebracht alle Server und Dienste auf die Sicherheitslücke zu testen und es ist mir eine Freude an dieser Stelle mitteilen zu können, dass meine Server von dem Bug nicht betroffen sind, da ich bei der Konfiguration auf den Einsatz des Heartbeat-Protokolls (daher der Name „Heartbleed“) verzichtet habe.
Es ist somit nicht nötig, bestehende SSL-Zertifikate zurückzuziehen und neu zu beantragen. Auch die Mailserverkonfigurationen können wie gewohnt beibehalten werden. Zu keinem Zeitpunkt konnten verschlüsselt übertragene Informationen von oder zu meinen Web- oder Mailservern ausgelesen werden!
Weiterführende Informationen über die Sicherheitslücke hat Anna Biselli auf Netzpolitik.org veröffentlicht. Wer es gerne etwas technischer mag, findet auf Heartbleed.com die genauen Details.
