Trotz schneller Reaktionen auf die Heartbleed-Lücke in der Verschlüsselungsbibliothek OpenSSL sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiter Handlungsbedarf. Inzwischen hätten zwar viele Betreiber von betroffenen Systemen Gegenmaßnahmen ergriffen, doch klaffe die Lücke noch in Websites von Vereinen oder kleineren Online-Shops, teilte das BSI am Mittwoch in Bonn mit.

Das BSI warnt weiter , dass Angreifer inzwischen nicht mehr nur Webserver im Visier haben, weil diese meist zuerst gepatcht wurden. So seien derzeit auch Server für Video- und Telefonkonferenzen, Firewalls, E-Mail-Server und andere von außen erreichbare Server verwundbar, wenn sie auf OpenSSL setzen. Daher empfiehlt das BSI, auch solche Systeme daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen. Insbesondere gilt diese Empfehlung auch für Sicherheitskomponenten, die OpenSSL einsetzen.

Vor gut einer Woche war die schwerwiegende Lücke in OpenSSL öffentlich geworden. Angreifer sind durch einen Programmierfehler in der Bibliothek in die Lage versetzt worden, Daten aus dem Speicher eines Servers auszulesen. Die geheimen Schlüssel eines Server-Zertifikats können dabei auch ausgelesen werden, was die gesamte Verschlüsselung sicherer Verbindungen zwischen Servern kompromittiert.

Betreiber von Servern müssen dringend überprüfen, ob sie eine verwundbare OpenSSL-Version einsetzen und auf eine aktuelle Version updaten. Alle Zertifikate müssen zudem sicherheitshalber erneuert werden.

(mt, hannover)

(siehe auch Heise-News Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE