Erkennung der OpenSSL-Sicherheitslücke HeartBleed
Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools
Die kritische Schwachstelle kann über den Qualys-Servertest "SSL Labs" oder direkt mit dem Cloud-Dienst "QualysGuard Vulnerability Management" gefunden werden
(15.04.14) - Qualys hat bekannt gegeben, dass das Tool "Qualys SSL Labs" die gravierende Sicherheitslücke in OpenSSL erkennt, die unter der Bezeichnung "HeartBleed" (CVE-2014-0160) aufgedeckt wurde. Administratoren, die für die Sicherheit von Websites verantwortlich sind, können unter auf dieses kostenlose Tool zugreifen, eine URL eingeben und feststellen, ob ihre Website für die neue Bedrohung anfällig ist. Zudem liefert ihnen das Tool Informationen zur Gesamtsicherheit ihrer SSL-Implementierung. Nach Angaben von Qualys verzeichnet die SSL Labs-Website seit Bekanntgabe der neuen Schwachstelle einen regelrechten Besucheransturm.
Nutzer von QualysGuard können den HeartBleed-Bug auch mithilfe des Cloud-Dienstes QualysGuard Vulnerability Management (VM) finden; die Kennung lautet QID 42430. Sobald Qualys-Kunden ihre Assets das nächste Mal scannen, erhalten sie Berichte, die für das gesamte Unternehmen zeigen, ob und wo diese Sicherheitslücke vorhanden ist. So können die Kunden das Problem effizient lösen.
"Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools, die in Minutenschnelle eingesetzt werden können", erklärt Ivan Ristic, Director of Engineering bei Qualys und renommierter Experte für die SSL-Technologie. "Nach einem erfolgreichen Angriff könnte ein Hacker Zugriff auf einen großen Teil des Serverspeichers erhalten, der private Schlüssel des Servers, Sitzungsschlüssel, Passwörter und andere sensible Daten enthalten kann. IT-Administratoren müssen unbedingt feststellen, wie anfällig ihre Server sind, und die gepatchte Version installieren, wo immer dies nötig ist." (Qualys: ra)
Qualys: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Achtung: Sicherheitslücke in OpenSSL
"Heartbleed", der Programmierfehler in OpenSSL, betrifft geschätzt zwei Drittel aller Webseiten. OpenSSL schützt die Kommunikation zwischen Nutzern und Servern. Dieser Fehler macht es Hackern möglich, sensible Daten zu extrahieren, beispielsweise Nutzernamen, Passwörter und andere wichtige Informationen. Hier erfahren Sie alles über "Heartbleed" und wie Sie sich schützen können.
15.04.14 - Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen
15.04.14 - Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools
15.04.14 - Keine Heartbleed-Schwachstelle bei ZyXEL-UTM-Firewall-Appliances
15.04.14 - Hintergrundinformationen: Erste Zahlen zu Heartbleed bei Android
15.04.14 - McAfee zu Heartbleed: Ändern Sie Ihr Passwort – nicht. Testen Sie erst !
15.04.14 - Informationen zur Heartbleed-Sicherheitslücke: Rund 1.300 Apps in Google Play betroffen
15.04.14 - "Heartbleed": In sieben Schritten Sicherheitslücke schließen
15.04.14 - Geräte von Lancom Systems nicht von "Heartbleed" betroffen
15.04.14 - Heartbleed Bug: bintec elmeg Produkte ohne Sicherheitslücke
15.04.14 - F5 mildert Auswirkungen des Heartbleed-Bug: Es besteht meist geringer oder kein Handlungsbedarf für Kunden