Video: Gute Nachrichten vom Planeten: Wasser | Doku | ARTE (Dezember 2024)
Es gibt eine neue Version von OpenSSL, und es hat sich herausgestellt, dass frühere Versionen des Sicherheitspakets einige schwerwiegende Sicherheitslücken aufwiesen. Diese Mängel sind jedoch eine gute Sache; Wir sehen keine Katastrophe von Heartbleed-Ausmaßen.
Auf den ersten Blick erscheint die OpenSSL-Empfehlung, in der alle sieben Schwachstellen aufgelistet sind, die in OpenSSL behoben wurden, als beängstigend. Wenn einer der Fehler ausgenutzt wird, kann ein Angreifer den Datenverkehr zwischen einem OpenSSL-Client und einem OpenSSL-Server in einem Man-in-the-Middle-Angriff sehen und ändern. Das Problem tritt auf allen Client-Versionen von OpenSSL und Server 1.0.1 oder 1.0.2-beta1 auf. Damit der Angriff erfolgreich ist - und das ist zunächst ziemlich kompliziert -, müssen anfällige Versionen von Client und Server vorhanden sein.
Auch wenn das Ausmaß des Problems sehr begrenzt ist, sind Sie vielleicht besorgt, weiterhin Software mit eingeschlossenem OpenSSL zu verwenden. Erstens, Herzblut. Jetzt greift man-in-the-middle an. Wenn man sich auf die Tatsache konzentriert, dass OpenSSL Fehler aufweist (welche Software nicht?), Übersieht man einen sehr kritischen Punkt: Sie werden gepatcht.
Mehr Augen, mehr Sicherheit
Die Tatsache, dass Entwickler diese Fehler aufdecken - und beheben - ist beruhigend, weil wir dadurch mehr Augen für den OpenSSL-Quellcode haben. Immer mehr Leute untersuchen jede Zeile auf potenzielle Schwachstellen. Nach der Enthüllung des Heartbleed-Fehlers Anfang dieses Jahres waren viele Leute überrascht, dass das Projekt trotz seiner weit verbreiteten Verwendung nicht viel Geld oder viele engagierte Entwickler hatte.
"Es [OpenSSL] verdient die Aufmerksamkeit der Sicherheitsgemeinschaft, die es jetzt erhält", sagte Wim Remes, Managing Consultant für IOActive.
Ein Konsortium von Technologiegiganten, darunter Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel und Cisco, hat sich mit der Linux Foundation zusammengeschlossen, um die Core Infrastructure Initiative (CII) zu bilden. CII finanziert Open Source-Projekte, um Vollzeitentwickler hinzuzufügen, Sicherheitsüberprüfungen durchzuführen und die Testinfrastruktur zu verbessern. OpenSSL war das erste unter CII finanzierte Projekt. Network Time Protocol und OpenSSH werden ebenfalls unterstützt.
"Die Community hat sich der Herausforderung gestellt, sicherzustellen, dass OpenSSL zu einem besseren Produkt wird und dass Probleme schnell gefunden und behoben werden", sagte Steve Pate, Chefarchitekt bei HyTrust.
Sollten Sie sich Sorgen machen?
Wenn Sie ein Systemadministrator sind, müssen Sie OpenSSL aktualisieren. Es werden weitere Fehler gefunden und behoben, sodass Administratoren nach Patches Ausschau halten müssen, um die Software auf dem neuesten Stand zu halten.
Für die meisten Verbraucher gibt es nicht viel zu befürchten. Um den Fehler auszunutzen, muss OpenSSL an beiden Enden der Kommunikation vorhanden sein. Dies ist beim Surfen im Internet normalerweise nicht der Fall, sagte Ivan Ristic, technischer Direktor bei Qualys. Desktop-Browser verlassen sich nicht auf OpenSSL, und obwohl der Standard-Webbrowser auf Android-Geräten und Chrome für Android beide OpenSSL verwenden. "Die Bedingungen für die Ausbeutung sind viel schwieriger zu finden", sagte Ristic. Die Tatsache, dass Ausbeutung eine Positionierung des Menschen in der Mitte erfordert, ist "einschränkend", sagte er.
OpenSSL wird häufig in Befehlszeilendienstprogrammen und für den programmgesteuerten Zugriff verwendet, sodass Benutzer sofort ein Update durchführen müssen. Und jede Softwareanwendung, die OpenSSL verwendet, sollte aktualisiert werden, sobald neue Versionen verfügbar sind.
Aktualisieren Sie die Software und "bereiten Sie sich auf häufige Updates in der Zukunft von OpenSSL vor, da dies nicht die letzten Fehler in diesem Softwarepaket sind", warnte Wolfgang Kandek, CTO von Qualys.
