{"id":2080,"date":"2015-07-07T14:00:13","date_gmt":"2015-07-07T12:00:13","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2080"},"modified":"2026-01-08T13:46:57","modified_gmt":"2026-01-08T12:46:57","slug":"neuer-openssl-bug-erinnerungen-an-heartbleed-werden-wach","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/neuer-openssl-bug-erinnerungen-an-heartbleed-werden-wach\/","title":{"rendered":"Neuer OpenSSL-Bug: Erinnerungen an Heartbleed werden wach (Update)"},"content":{"rendered":"

Fast ein Jahr liegt Heartbleed<\/strong> nun zur\u00fcck<\/a>: Anfang April 2014 ver\u00f6ffentlichte OpenSSL eine Mitteilung \u00fcber die besagte Sicherheitsl\u00fccke und diese zog derartig gro\u00dfe mediale Kreise, dass sogar Menschen, die normalerweise nichts mit Technik oder Verschl\u00fcsselung zu tun hatten, \u00fcber diese kritische Schwachstelle bestens informiert waren. Nun warnt OpenSSL wieder<\/a>: Eine neue Sicherheitsl\u00fccke<\/strong>, deren Schweregrad auf \u201ehoch\u201c<\/strong> eingestuft wurde, wurde von den Entwicklern ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

<\/h3>\n

 <\/p>\n

Updates bereits angek\u00fcndigt<\/h3>\n

Das Team vom OpenSSL Project<\/a> hat bereits Updates f\u00fcr die gleichnamige Verschl\u00fcsselungssoftware angek\u00fcndigt<\/strong>: Am Donnerstag, den 19. M\u00e4rz 2015 sollen die neuen Versionen 1.0.0r, 1.0.1m, 1.0.2a und 0.9.8zf vorliegen. Auf Twitter wird aktuell die Schwere des Bugs diskutiert<\/a>; Systemadmins hoffen, dass ein SSL-Super-GAU wie bei Heartbleed ausbleibt.<\/p>\n

Die Entwickler des OpenSSL Projects haben sich zu Heartbleed-Zeiten fest vorgenommen, schwere Anf\u00e4lligkeiten dieser Art k\u00fcnftig zu vermeiden. Daf\u00fcr m\u00f6chte man den Programm-Code durch unabh\u00e4ngige Experten untersuchen<\/strong> lassen. Dieses sogenannte \u201eCode Audit\u201c wird dem Sicherheitsunternehmen NCC Group \u00fcbertragen, wurde vor wenigen Tagen bekannt<\/a>.<\/p>\n

Arbeiten Sie mit OpenSSL, spielen Sie bitte unbedingt die Sicherheitsupdates ein<\/strong>. Haben Sie Fragen zum Thema<\/strong>, beantworten wir diese gerne \u2013 sprechen Sie uns einfach in den Kommentaren an.<\/p>\n

Update: OpenSSL patcht FREAK<\/h3>\n

Wie angek\u00fcndigt, hat das OpenSSL Project eine neue Version seiner Kryptobibliothek OpenSSL ver\u00f6ffentlicht<\/strong>. Das Team schlie\u00dft dabei gleich eine ganze Reihe von Sicherheitsl\u00fccken; auch die FREAK-L\u00fccke<\/strong><\/a>. Admins wird angeraten, die Updates so schnell wie m\u00f6glich einzuspielen<\/strong>: Von den zahlreich vorhandenen Schwachstellen<\/a> \u2013 12 St\u00fcck an der Zahl – werden zwei mit der Sicherheitsrisikostufe \u201ehoch\u201c<\/strong> eingestuft. Sie finden die vier neuen Versionen<\/strong>, die diese L\u00fccken stopfen, auf der Webseite von OpenSSL<\/a>.<\/p>\n

Bei den beiden gef\u00e4hrlichen Schwachstellen mit hohem Sicherheitsrisiko geht es zum einen um die FREAK-L\u00fccke<\/strong>, zum anderen erlaubt eine kritische L\u00fccke, Server f\u00fcr DoS-Attacken anf\u00e4llig zu machen<\/strong>. Es lohnt sich, die Updates sofort einzuspielen<\/strong> \u2013 auch deshalb, weil das Entwicklerteam des OpenSSL Projects ank\u00fcndigte, den Support f\u00fcr die \u00e4lteren Versionen 1.0.0 sowie 0.9.8 mit Ende dieses Jahres einzustellen. Je nach OS aktualisieren Sie Ihr System wie folgt:<\/p>\n