Melani gibt Empfehlungen für Schwachstelle in OpenSSL

In OpenSSL wurde eine Sicherheitslücke entdeckt, die Angreifern den Zugang zum Speicher eines Servers ermöglicht. Melani gibt Service-Providern nun Empfehlungen dazu ab, wie sie sich am besten davor schützen.
10. April 2014

     

Die Melde- und Analysestelle Informationssicherung, Melani, hat sich zu einer Sicherheitslücke in OpenSSL 1.0.1 und 1.0.2 Beta geäussert, über die Angreifer Zugang zum Speicher eines Servers und somit Nutzerdaten wie Passwörter erlangen können. Betroffen sind unter anderem Mail Provider und Finanzinstitute sowie Webshops oder Krankenkassenportale und Webportale, die über ein verschlüsseltes Login verfügen. Daneben sind aber auch Browser-basierte, verschlüsselte Dienste wie Smartphone-Apps, Chat- und Streaming-Dienste sowie Coud-Speicher und VPN-Zugänge nicht vor dem Sicherheitsleck gefeit, wie Melani warnt.

Aus diesem Grund rät Melani Service Providern, das entsprechende Update innerhalb der nächsten 24 bis 48 Stunden zu installieren und bei heiklen Diensten zusätzlich die Zertifikate und Zugangsdaten auszuwechseln. Zudem empfiehlt Melani, Dienste wenn irgendwie möglich vorübergehend einzustellen. Ausserdem könne das Sicherheitsproblem umgangen werden, indem ein Grossteil des betroffenen Netzverkehrs über zentrale Access-Systeme geleitet wird. Auch müsse beim Einsatz neuer Software-Versionen die Unterstützung von Perfect Forward Secrecy sichergestellt werden, da ohne diese Angreifer in der Lage sind, aufgezeichneten Traffic auch zu einem späteren Zeitpunkt zu entschlüsseln.


Für die Endbenutzer sei es derweil schwieriger, sich zu schützen. Eine Variante sei, sämtliche Passwörter für die betroffenen Dienste nach der Schliessung der Sicherheitslücke zu ändern. Zudem sollen NAS-Speicher und Router mit Sicherheitsaktualisierungen geschützt werden. (af)


Weitere Artikel zum Thema

Phishing-Methoden werden immer raffinierter

3. Mai 2013 - Der neueste Halbjahresbericht der Melde- und Analysestelle Informationssicherung Melani offenbart, dass die Phishing-Methoden bei E-Banking-Angriffen immer ausgefeilter werden. Zudem haben die DDoS-Attacken auf US-Banken zugenommen.

Melani: Smartphone-Malware hat E-Banking-Geschäft im Visier

14. März 2013 - Die Melde- und Analysestelle Informationssicherung Melani warnt vor einer Schad-Software auf Smartphones, die es auf E-Banking-Geschäfte abgesehen hat.

Kommentare
Die Leute von Melani sind komplett ahnungslos. Die Software Chaoten von Openssl haben weder brauchbare Test noch Designverfahren. Apple Computer hat die Openssl Bibliotheken ab Version 10.7 aus den iOS und OS X Umgebungen eliminiert. Die Leute von Openssl haben wiederholt Formate und Verfahren geändert - so dass Apple Applikationen welche die entsprechenden API ansprechen nicht funktioniert haben. Bis Version 10.6 wird Openssl 0.98 verwendet welche den Fehler nicht kennt. Die Leute von Melanie würden besser allen Banken und Versicherungen eine maximale Frist von 12 Monaten einräumen um sich komplett von Openssl zu verabschieden. Dies dürfte auch viele Web Server wie Apache aber auch Virtuose z.B betreffen falls da nicht ein Ersatzprodukt vorhanden ist.
Samstag, 12. April 2014, müller Peter



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER