Heartbleed: Netzwerk-Hersteller massiv betroffen

Die als „Heartbleed“ bekannt gewordene Sicherheitslücke in der Verschlüsselungs-Software OpenSSL findet sich auch in Produkten der Netzwerk-Hersteller Cisco und Juniper Networks. Die Anbieter warnen, dass eine Vielzahl ihrer für eine Verbindung zum Web ausgelegten Geräte die schwere Sicherheitsanfälligkeit aufweist. Die Lücke erlaubt es Angreifern, die Daten aus den Speichern der betroffenen Geräte auszulesen. Auf diesem Weg kann man an Usernamen und Passwörter gelangen. Sind Netzwerkkomponenten wie etwa Voice-over-IP-Telefone, Switches oder Router betroffen, ist es Angreifern möglich, in Netzwerke einzudringen.

Cisco hat bereits 16 betroffene Geräte identifiziert. Darunter befinden sich drei Linien von IP-Telefonen, TelePresence Video Communication Server, Mobility Service Engine, WebEx Meeting Server Version 2.x und der MS200X Ethernet Switch. Die Liste soll bei Bedarf ein Update erhalten, kostenlose Software-Updates würden bereitgestellt werden. Cisco hat für Kunden und Partner eine Website eingerichtet, auf der es weiterführende Informationen gibt. Hier sind auch weitere Produkte aufgezählt, die derzeit überprüft werden. Juniper hat acht Produkte ausfindig gemacht: Dazu zählen Geräte mit Junos OS 13.3R1 oder dem Odyssey Client 5.6r5 oder später. US-Medien berichten, dass möglicherweise weitere Hersteller von der Sicherheitslücke betroffen sind. Dazu zählten beispielsweise F5 Networks, Red Hat, und Check Point. Die Behebung des Problems bei Hardwareprodukten gestaltet sich offensichtlich schwierig. So hat ein Juniper-Sprecher gegenüber dem Wall Street Journal eingeräumt, dass es „nicht nach einer Sache aussieht, wo man einfach einen Schalter umlegt.“ Er wisse nicht, wie schnell diese Lücken behoben werden könnten.