partner logos

 

Lücke in Produkten der Netzwerkausrüster Cisco und Juniper Networks

Netzwerk-Infrastruktur: womöglich angreifbar (Foto: H.P. Reichartz, pixelio.de)

Netzwerk-Infrastruktur: womöglich angreifbar (Foto: H.P. Reichartz, pixelio.de)

New York/Jena (pte/11.04.2014/13:40) Die als "Heart­bleed" be­kannt ge­wor­dene Sicher­heits­lücke in der Ver­schlüs­sel­ungs-Soft­ware Open­SSL findet sich auch in Pro­duk­ten der bei­den großen Netz­werk­aus­rüs­ter Cis­co und Juni­per Net­works. Be­trof­fen sind unter an­derem Router und Swit­ches, bei denen die Behe­bung des Prob­lems sich lang­wierig gestal­ten könn­te, berich­tet das Wall Street Jour­nal (WSJ). Dem­nach hat Juni­per auch schon Pat­ches für einige Ver­sionen seiner VPN-Soft­ware (Vir­tual Pri­vate Net­work) veröf­fent­licht. Denn auch die Lös­ung, die ex­ter­nen Mit­ar­bei­tern sicheren Zu­griff auf in­ter­ne Unter­nehms­netz­werke bieten soll, war von Heart­bleed be­trof­fen.

"Heart­bleed ent­wickelt sich immer mehr zur größten Sicher­heits­lücke, die jemals ge­fun­den wurde. Es steht zu befürch­ten, dass die Schwach­stel­le in Open­SSL weitere Kreise zieht, als bis­lang ver­mu­tet", heißt es seitens der Sicher­heits­spezial­isten ESET http://eset.com/de auf An­frage von pres­se­text. Generell müs­se man be­den­ken, dass Open­SSL nicht nur bei Web­ser­vern, son­dern auch bei Em­bed­ded-Geräten zum Ein­satz kommt, warnt ESET Senior Re­search Fel­low David Har­ley im Un­ter­neh­mens­blog.

Viel mehr als nur Server

Währ­end für End­an­wen­der vor al­lem rele­vant ist, wel­che großen Web­siten von Heart­bleed be­trof­fen waren, werden gerade für Un­ter­neh­men auch an­dere be­trof­fene Sys­teme eine wich­tige und letzt­lich viel­leicht sogar größere Rol­le spielen. Ein Bei­spiel dafür sind multi­mediale IP-Tele­phone. In diese Ka­te­go­rie fällt ein größerer Teil jener zu Readk­tions­schluss 16 Cis­co-Pro­duk­te, die laut Secu­rity Ad­vi­sory des Netz­werk­aus­rüs­ters von Heart­bleed be­trof­fen sind. Er­freu­lich ist da­gegen, dass Cis­co bei vielen VPN-Routern bereits aus­schließen konnte, dass diese durch die Lücke an­greif­bar wären.

Wie Juni­per Net­works gegen­über dem WSJ betont, dürf­te das Schließen der Lücke bei Netz­werk­aus­rüst­ung nicht so ein­fach sein. "Das klingt nicht nach et­was, das wie einen Schal­ter um­zu­legen ist", so ein Sprecher. Er kön­ne noch nicht sagen, wie lan­ge es dauern wird, das Prob­lem in den Griff zu be­kom­men. Bei Soft­ware-Lös­ungen reicht eher ein ein­facher Patch. Dass auch VPN-Soft­ware von Heart­bleed be­trof­fen war, wirft aber die Frage auf, in­wie­weit die Lücke An­grei­fern wo­mög­lich den Zu­griff auf kri­tische in­ter­ne Daten von Un­ter­neh­men er­öff­net hat.

Katastrophenstufe elf

Heart­bleed hat seit dem Be­kannt­wer­den der Lücke An­fang dieser Woche hohe Wel­len ge­schla­gen. Denn der Feh­ler in Open­SLL bietet An­grei­fern eine Chance, Daten von Pass­wör­tern bis hin zu den pri­va­ten Schlüs­seln von Web­sites zu steh­len. Der aner­kann­te IT-Secu­rity-Gu­ru Bru­ce Schnei­er https://www.schneier.com hat die Lücke in seinem Blog daher als kata­strop­hal be­zeich­net. "Auf einer Skala von eins bis zehn ist das eine Elf", so Schnei­er. Sein Blog war eben­so be­trof­fen wie hun­der­tausende andere Seiten, da­runter große Web­an­ge­bote wie Face­book, Google Mail oder Tumblr.

Da be­trof­fene große An­bieter schnell ihre Web­seiten ent­sprechend ge­patcht haben, raten Ex­per­ten Usern in­zwischen, mög­lichst rasch ihre Pass­wör­ter für be­trof­fene Dien­ste zu än­dern. Für Unter­neh­men gilt es in­des nicht nur zu klären, ob die eigene Web­seite be­trof­fen ist und nötigen­falls eine Open­SSL-Ak­tuali­sier­ung vor­zu­neh­men. Sie müs­sen auch klären, ob sie bei­spiels­weise an­greif­bare Em­bed­ded-Sys­teme nut­zen. Gerade hier könn­te es noch rich­tig teuer werden. "Ein Up­grade-Pfad, der den Müll, einen Besuch bei Best Buy und eine Kredit­karte um­fasst, wird keinem Spaß machen", warnt Schneier.

(Ende)

 

Aussender: pressetext.redaktion
An­sprech­part­ner: Thomas Pich­ler
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel.: +43-1-81140-303
Website: www.pressetext.com

website security    microsoft kompetenzen

Zum Seitenanfang