MM CCC-CH: Heartbleed: Schlimmste anzunehmende Cryptocalypse
Liebe Medienschaffende, Liebe interessierte Öffentlichkeit, Auf Grund der schier inexistenten oder inadäquaten Schweizer Berichterstattung über eine schwerwiegende Sicherheitslücke, welche die Sicherheit der IT-Infrastrukturen (auch eben in der Schweiz) massgeblich beeinflusst, sich sich das Presseteam des Chaos Computer Club Schweiz CCC-CH gefordert, mit der folgenden Medienmitteilung sensibilisierned zu wirken und eine breite Bevölkerung zu erreichen. In vielen Versionen von OpenSSL (vgl. Wikipedia ) gibt es einen krassen Bug, der es erlaubt, Teile des Arbeitsspeichers von richtig vielen Computern auszulesen. Damit können Passwörter und zum Aufbau von verschlüsselten Verbindungen genutzte geheime Schlüssel in die Hände von Angreifer*innen fallen. Mit Kenntnissen dieser Geheimnisse, wird es für Angreifer*innen möglich, verschlüsselte Verbindungen zu entschlüsseln und mitzulesen. Auf den meisten Servern wird es mit den erlangten Informationen möglich, sich anzumelden und beliebige Daten zu verändern. Es betrifft die bis gestern aktuellen Versionen 1.0.1 (bis einschliesslich 1.0.1f und 1.0.2-beta). Alle sollten ihre Systeme sofort aktualisieren und (am einfachsten) neu starten: Mit dem Update auf OpenSSL 1.0.1g wurde veröffentlicht, wo der Fehler war: deshalb sind jetzt alle Informationen öffentlich, mit denen beliebige Angreifer*innen den Fehler selber ausnutzen können.