Clik here to view.
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet.
Nach GnuTLS und GoToFail jetzt der dritte gravierende Fall – und dieser ist besonders schlimm, weil unter anderem die geheimen Schlüssel des Servers geklaut werden können.
Ich sag mal vielen Dank an NSA und GCHQ.
Update 11.04. aus den Kommentaren zu Bruce Schneiers Diskussion scheint deutlich: der Fehler wurde wohl nicht absichtlich eingefügt. Nach allem was ich über NSA und GCHQ gelesen habe bin ich aber davon überzeugt, dass die „Spionagevereinigungnen“…
- die Probleme schon länger kannten
- zu ihrem eigenen Vorteil ausgenutzt haben und
- die Fehlerbeseitigung erschwert haben.
Update 13.04. CloudFlare beantwortet die Frage, ob es tatsächlich möglich ist, private SSL Schlüssel zu extrahieren:
To verify […] we crowd sourced the investigation. […] While it takes effort, it is possible to extract private SSL keys. The challenge was solved by Software Engineer Fedor Indutny and Ilkka Mattila at NCSC-FI roughly 9 hours after the challenge was first published. Fedor sent 2.5 million requests over the course of the day and Ilkka sent around 100K requests.
