zurück zum Artikel

Die Entwickler des OpenSSL-Forks LibreSSL haben die erste Version ihrer Software veröffentlicht, die andere Plattformen als OpenBSD unterstützt. Damit schickt sich die SSL-Bibliothek an, eine echte Alternative zum Heartbleed-geplagten OpenSSL zu werden.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit [1]
• SSL-Gau: So testen Sie Programme und Online-Dienste [2]
• Passwörter in Gefahr - was nun? [3]
• Heartbleed-Betroffene stecken Kopf in den Sand [4]
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen [5]
• Infos und Hintergrund zum Heartbleed-Bug [6]

Die neu erschienene portable Version von LibreSSL [7] zur Verschlüsselung und Absicherung von Verbindungen im Internet wurde unter Linux, MacOS X, FreeBSD und Solaris getestet. Sie erhielt die Versionsnummer 2.0.0 und steht auf den Mirror-Servern des OpenBSD-Projektes zum Download bereit.

Die OpenBSD-Entwickler hatten LibreSSL als Reaktion auf den Heartbleed-Bug aus der Taufe gehoben, um den Code der meistgenutzten SSL-Bibliothek zu bereinigen. Dabei wollen sie vor allem wenig genutzte Funktionen entfernen und den Quellcode kleiner, aufgeräumter und lesbarer machen.

Viele der Änderungen an der OpenSSL-Codebase hatten dazu geführt, dass sich LibreSSL auf nicht-OpenBSD-Systemen nicht mehr kompilieren ließ. Um dies zu beheben, übernimmt die portable Version der Bibliothek zum Teil OpenBSD-Funktionen auch auf den anderen Plattformen, da die Entwickler OpenSSL-Code mit eigenem Code ausgetauscht haben. Das Tumblr-Blog "OpenSSL Valhalla Rampage [8]" listet auf, an welchen Änderungen die Entwickler gerade arbeiten.

Die alternativen SSL-Implementierungen häufen sich. Google entwickelt mit BoringSSL seinen eigenen OpenSSL-Ableger [9]. Auch das OpenSSL-Projekt selbst hat derweil auf den Heartbleed-Bug reagiert und hatte Anfang des Monats einen Sanierungsplan [10] vorgelegt. (fab [11])

URL dieses Artikels:
https://www.heise.de/-2260042

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/So-funktioniert-der-Heartbleed-Exploit-2168010.html
[2] https://www.heise.de/news/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
[3] https://www.heise.de/meinung/Passwoerter-in-Gefahr-was-nun-2167584.html
[4] https://www.heise.de/news/Heartbleed-Betroffene-stecken-Kopf-in-den-Sand-2188855.html
[5] https://www.heise.de/news/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
[6] http://www.heise.de/thema/Heartbleed
[7] http://marc.info/?l=openbsd-announce&m=140510513704996
[8] http://opensslrampage.org
[9] https://www.heise.de/news/Google-entwickelt-eigene-SSL-Bibliothek-2236224.html
[10] https://www.heise.de/news/OpenSSL-legt-Sanierungsplan-vor-2248106.html
[11] mailto:contact@fab.industries

Copyright © 2014 Heise Medien