Der Heartbleed-Bug ist ja nun in aller Munde. Und man muß schon sagen: Das ist ein GAU, ein richtiger. Es sind ja nicht „nur“ Webserver betroffen — was allein schon fürchterlich wäre — sondern auch Mailserver, Nameserver; schlichtweg die gesamte Infrastruktur des Internets.
Ich frage mich nun: wie kommuniziert man solche Katastrophen? Bei closed Software wäre das relativ einfach: Den Hersteller vertraulich informieren, und nach angemessener Zeit die Sicherheitslücke veröffentlichen. Bei Opensource funktioniert das aber nicht. Natürlich muß zuerst der „Hersteller“, auch upstream genannt, informiert werden. Doch was soll der machen? Einen Patch zur Verfügung stellen, soweit ist das noch einfach. Doch aus dem Patch läßt sich natürlich sofort der Bug rekonstruieren und ausnutzen. Doch ohne Patch bleibt die Lücke offen, und mit Patch kann sie eben jedermann ausnutzen.
Im konkreten Fall blieb mir nur eins, wie wahrscheinlich unzähligen Admins auch: Bei Systemen, die die openssl-Bibliothek des Distributors verwenden, immer mal wieder nachsehen, ob ein neues Paket angeboten wird; bei selbstgebauten Programmen, die (dynamisch) gegen ein selbstgebautes openssl gelinkt sind, eben openssl neu übersetzen und das Programm neu starten.
Das eine ist so unangenehm wie das andere.
Immerhin: wir können es wenigstens. Man darf davon ausgehen, daß da draußen ganz viele auch Windows-Programme sind, die statisch gegen openssl gelinkt sind. Router-Zugänge. Und wer weiß was noch alles.
Eine Katastrophe.
Neben Servern sind ggf. auch Clients betroffen: