| HTML-Format |
|---|
| Wiki-Markup |
{html}<style> .wiki-content p {text-align:justify;} .wiki-content {position:relative; left:60px; width:600px;} </style>{html} |
| Inhalt | ||||||
|---|---|---|---|---|---|---|
|
...
Das kann u.A. den Vertraulichkeitsverlust von Anwendungsdaten und Systemdaten wie dem private
Key des Servers bedeuten.
...
Wenn Verbindung mit Server aufgebaut wird, enthält dessen Arbeitsspeicher häufig (naturgemäß
unverschlüsselte) Daten aus früheren Verbindungen. Durch die Heartbleed-Schwachstelle werden
diese allerdings zugänglich, das u.A. können sein:
...
Hier ist vor allem der private Key des Servers zu nennen. Angreifer könnnen damit abgehörte
Verbindungen entschlüsseln oder sich im Rahmen eines Man-In-The-Middle-Angriffs unbemerkt in
eine verschlüsselte Verbindung einklinken.
...
Die Schwachstelle Heartbleed (CVE-2014-0160) betrifft grundsätzlich alle Services, die die
TLS-Implementation OpenSSL in einer der Versionen von 1.01 (März 2012) bis 1.01f (aktuell bis
April 2014)[1].
OpenSSL ist eine weitverbreitete Implementation von TLS, die zum Beispiel von Webservern,
Mailservern, XMPP-Servern verwendet wird.
...
Anhand der normalen Logfiles lassen sich Angriffe auf die Heartbleed-Schwachstelle nicht
nicht erkennen. Die Schwachstelle hat über zwei Jahre unbemerkt bestanden. Es ist nicht festzustellen,
ob sie bereits vor ihrer Behebung im April 2014 entdeckt und ausgenutzt wurde. Das macht die
mit der Schwachstelle verbundenen Risiken schwer kalkulierbar.
...
Advisories und verschiedene Security-Experten empfehlen eine Reihe von Maßnahmen. Da diese
zum Teil erhebliche betriebliche Auswirkungen haben, muss jede Organisation selbst über
ihre Umsetzung entscheiden.
...
- https://www.ssllabs.com/ssltest/analyze.html - Qualsys SSL Labs SSL Server Test
- https://sslanalyzer.comodoca.com/ - COMODO SSL Analyzer
Erfahrungen
Derzeit keine vermerkt.
Stellungnahme univie: https://zid.univie.ac.at/startseite/news-detailansicht/article/sicherheitsluecke-heartbleed/