Login
Newsletter
Werbung

Di, 15. April 2014, 08:44

Software::Security

OpenSSL nach dem Heartbleed-Fehler: Patches, Audits und Spenden

Wenige Tage nach dem katastrophalen Fehler in OpenSSL haben Entwickler Patches vorgestellt und mit Audits begonnen. Das Projekt selbst ruft zu Maßnahmen auf, um mehr als einen Entwickler in Vollzeit arbeiten lassen zu können.

OpenSSL: Schwerwiegender Fehler Heartbleed

Codenomicon - www.codenomicon.com

OpenSSL: Schwerwiegender Fehler Heartbleed

Ein erster Patch kam von der Firma Akamai, die behauptete, diesen Patch seit über zehn Jahren auf ihren Servern einzusetzen und damit gegen den Heartbleed-Fehler immun zu sein. Es dauerte nicht lange, bis der Patch von Willem Pinckaers pulverisiert wurde: Er sei komplett unwirksam, da die Parameter, aus denen man den privaten Schlüssel berechnen kann, trotzdem ausgelesen werden können. Dass der Patch von dem Internet-Veteranen Rich Salz, Autor des News-Servers INN, veröffentlicht wurde, und seine erste gezeigte Version zudem die falsche war, macht den Vorgang zu einer besonderen Anekdote. Die Lehre, die man daraus ziehen sollte, ist, Patches mit vermeintlichen Sicherheitsverbesserungen nicht zehn Jahre geheim zu halten, sondern zu publizieren, damit sie untersucht werden können.

OpenBSD hat offenbar ohne große Fanfare mit einem Audit von OpenSSL begonnen. Dabei wurde bereits eine potentielle Sicherheitslücke gefunden, die es möglich machen könnte, Daten einer Verbindung in eine andere einzubringen.

Auch Coverity, deren Code-Analyse den Heartbleed-Fehler nicht finden konnte, hat sich Gedanken gemacht. Eine relativ einfache Änderung erkennt den Fehler, doch sie muss wahrscheinlich verfeinert werden, da sie zuviele Fehlalarme auslösen würde. Der Grundgedanke dabei ist, alle Variablen, auf die eine Byte-Austauschoperation angewandt wird, als »vergiftet«, also von Angreifern manipulierbar, anzusehen. Solche Operationen kommen beim Lesen von Netzwerkpaketen häufig vor, aber nicht nur dort.

Derweil hat Steve Marquess vom OpenSSL-Team berichtet, dass die Spenden an OpenSSL in den letzten Tagen stark gestiegen sind. Ungefähr 9000 US-Dollar seien eingegangen, oft mit Worten der Ermunterung und Unterstützung verbunden. Normalerweise verzeichnet das Projekt nur etwa 2000 USD Spenden pro Jahr. Entwickler können mit diesen Beträgen nicht bezahlt werden.

Die Spenden und anderen Einnahmen werden von der OpenSSL Software Foundation (OSF) verwaltet. Die Haupteinnahmen kommen von Beratung und kundenspezifischer Entwicklung, die einige der OpenSSL-Entwickler zu einem Stundensatz von 250 USD anbieten. Das ist nicht billig, trotzdem sind die Entwickler so gefragt, dass sie so manchen Auftrag ablehnen müssen. Doch diese Arbeiten tragen wenig direkt zu OpenSSL bei, und maximal eine Person arbeitet in Vollzeit an OpenSSL. Diese Person ist Dr. Stephen Henson, der nach Angabe von Steve Marquess ein herausragender Programmierer ist, der ein viel höheres Einkommen verdient hätte. Zudem sollte ein komplexes Projekt nicht einen, sondern mindestens ein halbes Dutzend VOllzeit-Entwickler haben. Daher ruft Steve Marquess Unternehmen und Behörden auf, über eine Förderung von OpenSSL nachzudenken, so dass sich künftig mehrere Entwickler ganz auf OpenSSL konzentrieren können.

Werbung
Kommentare (Insgesamt: 18 || Alle anzeigen )
Re[2]: ENISA (Micha Bee, Do, 17. April 2014)
Re: ENISA (jn, Mi, 16. April 2014)
Re: Spenden, spenden, spenden!! (bremse, Mi, 16. April 2014)
Spenden, spenden, spenden!! (Froschauge, Mi, 16. April 2014)
ENISA (Andyleinchen, Mi, 16. April 2014)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung