In OpenSSL, einem freien Toolkit für Transportverschlüsselung, ist eine Sicherheitslücke entdeckt worden. Anwender sind gehalten, die Software zu aktualisieren und Dienste neu zu starten.
Die Schwäche (CVE-2014-0160), entdeckt durch Neel Mehta von Google Security, steckt in der Erweiterung TLS-Heartbeat, die OpenSSL mit einer Keep-Alive-Funktion ausstattet. Ein fehlender Check ermöglicht es einem fremden Client oder Server unter Umständen, 64 KByte des Arbeitsspeichers auszulesen.
Betroffen sind ausschließlich die OpenSSL-Versionen 1.0.1 und 1.0.2-beta, einschließlich 1.0.1f and 1.0.2-beta1. Ein Patch existiert bereits, und das Projekt empfiehlt ein Update auf OpenSSL 1.0.1g, der Beta-Zweig soll in 1.0.2-beta2 geflickt werden. Als Workaround kann man OpenSSL auch mit der Option “-DOPENSSL_NO_HEARTBEATS” kompilieren. Nach dem Update ist es wichtig, alle Dienste neu zu starten, die die SSL-Bibliothek benutzen, beispielsweise Web- und Mailserver.
Die Linux-Distributionen haben auch schon aktualisierte Pakete im Angebot. Der Eintrag im Debian-Security-Tracker enthält Links zu Red Hat, Ubuntu, Gentoo, Suse und weiteren.




