Die Entwickler der freien SSL- und TLS-Implementierung OpenSSL warnen vor einer akuten Schwachstelle in ihrer Software. Angreifer können aufgrund eines Programmfehlers eine Race-Condition ausnutzen, darüber einen Pufferüberlau provozieren und so den Server zum Absturz bringen oder möglicherweise Schadcode ausführen.
Ihre Server sind allerdings nur dann angreifbar, wenn Sie OpenSSL mit der TLS-Erweiterung in einer Multi-Threaded Server-Umgebung einsetzen und den OpenSSL-Cache nutzen.
Server, die den Cache-Mechanismus von OpenSSL nicht verwenden oder die Verarbeitung in mehreren Prozessen kapseln (Multi-Process), sind von der Schwachstelle nicht betroffen. So ist beispielsweise der Apache HTTP-Server nicht betroffen, da er nicht den OpenSSL-Cache nutzt.
In jedem Fall empfehlen wir Ihnen, zeitnah das nun veröffentlichte Update einzuspielen. Wenn Sie die OpenSSL-Versionen bis Version 0.9.8o verwenden, sollten Sie ein Update auf die Version 0.9.8p durchführen. Für OpenSSL 1.0.0 und 1.0.0a wurde der Fehler mit Version 1.0.0b behoben.
Arne Schwarze ist seit mehreren Jahren Fachautor bei der IT-Security-Zeitschrift „mIT Sicherheit“ sowie der IT-Fachzeitschrift „Windows Server“. Vor seiner Tätigkeit als Redakteur hat der ausgewiesene Windows-Server-Experte (MCSE 2003) als Anwendungsentwickler und IT-Systemadministrator in der Industrie gearbeitet. Er ist seit der ersten Stunde unseres Verlages fester Teil der Redaktion von WebHosterNews.