tom's networking guide
 
Anzeige
Libratone Loop mit Red Dot Award ausgezeichnet >
< Avira: Mobile Security für Android und iOS mit neuen Features
14.04.14 20:20 Alter: 7 Jahre
Kategorie: Produkt-News, Top-News, Unternehmens-News, Administratoren, Errichter, KMU, SOHO, WLAN, Internet-Intranet, Internetdienste
Von: Maurice Hempel

Lancom-Geräte sind nicht vom Heartbleed-Bug betroffen

Das Netzwerk-Unternehmen teilt mit, dass seine VPN-Router- und WLAN-Geräte vom sogenannten „Heartbleed“-Bug nicht betroffen sind. Die für die Sicherheitslücke verantwortliche, fehlerhafte Implementierung der TLS-Stack-Funktion verwende Lancom in seinen Netzwerklösungen nicht.


Lancom-Logo

Lancom-Logo.

Aachen – Aufatmen für Lancom-Kunden. Nachdem mehrere Unternehmen von der schwerwiegenden OpenSSL-Sicherheitslücke Heartbleed betroffen sind, darunter Insys und Fortingate, teilte die Firma Lancom Systems am 14. April 2014 mit, dass keines ihrer Produkte aus ihrem VPN-Router- und WLAN-Portfolio für den Bug anfällig seien. 

Lancom verwende zwar Kryptoalgorithmen der OpenSSL-Bibliothek, jedoch nicht die darauf aufsetzende TLS-Stack-Funktion, welche von "Heartbleed“ betroffen ist. Der eigentliche Fehler, die TLS-Implementierung der OpenSSL-Bibliothek, könne dem Systemen deshalb nichts anhaben, weil Lancom an dieser Stelle auf Eigenentwicklungen setze. Weiterhin teilte das Unternehmen mit, dass es sich bei dem Bug nicht um ein generelles Sicherheitsproblem des TLS-Protokolls handelt. Der Fehler sei letztlich auf die Implementierung zurückzuführen.

Das Heartbleed-Problem
Genauer gesagt auf die Heartbeat-Funktion des TLS-Protokolls. Hierüber werden Statusinformationen zwischen den Kommunikationspartnern ausgetauscht, die etwa die Aktivität des Gegenübers prüfen. Hierfür wird eine Payload mit beliebigem Inhalt gesendet. Wird dieses von der Gegenseite in gleichem Umfang zurückgeschickt, gilt die Verbindung als intakt. Der Heartbleed-Bug führte dazu, dass die Länge des Payload von der Empfängerseite nicht mehr ausreichend geprüft wurde. Somit konnten beliebig große Werte für das Payload-Paket geschrieben werden, mit denen letztlich Speicher des Empfängers ausgelesen werden konnte. 

Wird beispielsweise ein Payload mit einer reellen Größe von 1 KByte als 16 KByte-Payload ausgegeben, wird ihm vom Empfänger der geforderte Bedarf an Speicher eingeräumt. Dieser freie Platz wird jedoch nicht ohne Inhalt an den Kommunikationspartner zurückgeschickt, sondern wird mit bereitstehenden Informationen gefüllt. Dies sind aufgrund der OpenSSL-Speicherverwaltung Daten wie Passwörter des Benutzers oder geheime Schlüssel des Servers, die nun ausgelesen werden konnten. Dieser Vorgang lässt sich beliebig oft wiederholen. Das Prinzip funktioniert nicht nur vom Client zum Server sondern in beide Richtungen, also ebenfalls vom Server zum Client. Wie viele Daten auf diese Weise gestohlen wurden ist noch nicht bekannt. 
 
Seit der Programmierfehler letzten Dienstag öffentlich wurde, haben nahezu alle betroffenen Firmen Schadensregulierungs-Maßnahmen unternommen. Allen voran natürlich die Entwickler von OpenSSL, die mit einer neuen OpenSSL-Version, in der der Bug gefixt wurde, reagierten. E-Mail-Dienste wie Yahoo und Web.de forderten ihre Nutzer zum Passwortwechsel auf. Weiterhin konnte auf Seiten der Clients vorsichtige Entwarnungen gegeben werden. Erste strukturelle Maßnahmen sollen nun bei OpenSSL eingeleitet werden. Um mehr Entwickler in Vollzeit beschäftigen zu können, rief das OpenSSL-Projekt zu einer Spendenaktion auf. 


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige