Schwachstellen
Heartbleed (CVE-2014-0160)
Auch bekannt als: CVE-2014-0160, OpenSSL-Heartbeat-Bug
Definition
Buffer-Over-Read von 2014 in der TLS-Heartbeat-Erweiterung von OpenSSL, durch das Angreifer pro Request bis zu 64 KB Speicher auslesen konnten — inklusive Schlüssel, Sessions und Passwörter.
Beispiele
- Angreifer extrahieren den TLS-Private-Key eines SaaS-Anbieters, um aufgezeichneten Traffic zu entschlüsseln.
- Massenhaftes Abgreifen von Session-Cookies authentifizierter Nutzer verwundbarer Server.
Verwandte Begriffe
Pufferüberlauf
Speicher-Sicherheitslücke, bei der ein Programm über das Ende eines allokierten Puffers hinausschreibt, benachbarten Speicher überschreibt und häufig Codeausführung ermöglicht.
Speicherkorruption
Sammelbegriff für Schwachstellen, bei denen ein Programm außerhalb der vorgesehenen Speichergrenzen schreibt und so Typsicherheit, Kontrollfluss oder Datenintegrität untergräbt.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
CVE (Common Vulnerabilities and Exposures)
Öffentlicher Katalog, der jeder offengelegten Software- oder Hardware-Schwachstelle einen eindeutigen Bezeichner zuweist, um sie branchenweit eindeutig zu referenzieren.
Aktiv ausgenutzte Schwachstelle (KEV)
Eine CVE, die die US-CISA als aktiv ausgenutzt bestätigt und in ihren öffentlichen KEV-Katalog aufnimmt, wodurch Behandlungsfristen für US-Bundesbehörden ausgelöst werden.
Perfect Forward Secrecy
Protokoll-Eigenschaft, die sicherstellt, dass die spätere Kompromittierung langfristiger Schlüssel keine Entschlüsselung früherer Sitzungen ermöglicht.