OpenSSL im Visier von einem “IT-Experten”

Eigentlich wollte ich mich aus dem ganzen Hype um Heartbleed raus halten. Aber leider gibt es viele IT-Firmen, die durch diese Lücke versuchen Profit zu schlagen, indem sie OpenSSL extrem in den Dreck ziehen um ihre eigenen Produkte irgendwie an den Mann zu bekommen.

So probiert es dem Anschein nach auch ein gewisser Klaus Brandstätter, CEO der Firma HOB GmbH & Co. KG (www.hob.de).
Dieser verfasste einen Artikel namens „Internet-Sicherheit und Heartbleed“ auf der Internetseite von HOB (http://www.hob.de/news/2014/news0814.jsp). Ich bitte euch darum diesen Artikel zu lesen, auch wenn es einem sehr schwer fällt, diese Selbstverliebtheit zu ertragen.

In der Einleitung erzählt der Autor ein wenig über seine Person und wo er programmieren gelernt hat. Dies war vor 40 Jahre in der Schule, was wohl auf die Qualität der Fähigkeiten schließen lässt.
In der Einleitung geht der Autor auch darauf ein, dass er den Quellcode von OpenSSL angesehen hat und verstanden hat. Das ganze ist nicht besonders schwer, nichtmal wenn man vor 40 Jahren programmieren in der Schule gelernt hat.
Dazu schaut man einfach in die d1_both.c und schaut sich die Funktion dtls1_process_heartbeat an. Nun ist unschwer zu erkennen, dass der payload nicht auf seine Länge geprüft wird, bevor die Funktion memcpy den Inhalt des Arbeitsspeichers ausliest.[Read More…]