Sicherheitslücke in OpenSSH. Der Heartbleed-Bug ist ein schwerwiegender Fehler in der Open-Source-Bibliothek OpenSSL. In der Überprüfung (Heartbeat), ob ein Server noch erreichbar ist, kann in der Antwort eines Servers der Inhalt seines Arbeitsspeichers ausgelesen werden (Heartbleed), indem längere Antworten angefordert werden. Abgesehen von möglicherweise abgegriffenen Zugangsdaten (Benutzernamen, Passwörter) kann die Antwort eines Servers den privaten Schlüssel des Serverzertifikats beinhalten, mit dem auch lange vor dem Bekanntwerden des Fehlers aufgezeichneter Datenverkehr nachträglich entschlüsselt werden kann.
Die entscheidene Stelle in OpenSSL wurde von einem deutschen Programmierer Robin Seggelmann eingebaut, dem man Absicht unterstellen kann. Zumal sich seine Dissertation mit Sicherheitslücken im OpenSSL-Heartbeat befasst und die eigene Schwachstelle übersieht. Vergleichbar mit dem Goto fail ist der Heartbleed ähnlich trival und lässt sich einfach als Flüchtigkeitsfehler leugnen.
Man kann davon ausgehen, dass NSA und andere derartige Sicherheitslücken ausnutzen, selbst wenn damit technische Schwierigkeiten verbunden sind.
OpenSSL ist inzwischen gepatcht und daher sollte man sein Passwort ändern, bei Diensten, die einen dazu auffordern. Sofern angeboten, richtet man Two-Factor Authentication (2FA). Dann ist zusätzlich zum Passwort nämlich noch ein Sicherheitscode einzugeben, den man auf einem zweiten Weg zugestellt bekommt.
Betroffen sind unter anderem Yahoo, bitcasa.com, ezeep.com und ifttt.com
Nicht betroffen sind zum Beispiel apple.com mit allen Diensten, flickr.com und 1password.
Laut golem.de tauscht Verisign ausgestellte Zertifikate kostenlos um. app.net bietet zum Beispiel Two-Factor Authentication mit OTP, einem one-time password ein und kennt für jede App, die sich anmeldet ein eigenes Login.
OpenVPN ist auch betroffen, sofern die VPN-Verbindung nicht zusätzlich mit TLS gesichert ist: http://j.mp/1j5CZU4