OpenSSL Heartbleed-Bug

By 18. April 2014Sicherheit, WHF Blog

Vorweg können wir Ihnen mitteilen, das unsere Server und auch die von uns ausgestellten Zertifikate nicht von dem Bug betroffen sind. Unsere Kunden sind, wie immer, auf der sicheren Seite.

Was hat es mit dem Heartbleed-Bug auf sich:

Der Heartbleed-Bug nutzt einen Fehler in der sogenannten „Heartbeat“-Funktion von OpenSSL. Dies ist eine Kommunikations-Funktion, die Statusinformationen zwischen zwei Partnern austauscht, v. a. um festzustellen, ob die Gegenstelle noch aktiv ist. Eine fehlende Implementierung eines Speicherzugriffs kann dazu führen, dass ein Angreifer bis zu 64 KB aus dem Arbeitsspeicher des Gegenübers auslesen kann, z. B. Usernamen, Passwörter, Session-Daten oder verschlüsselte E-Mails, die als Klartext lesbar werden.

Grundsätzlich betrifft der Fehler jeden Dienst, der OpenSSL in der Version 1.0.1 bis 1.0.1f oder OpenSSL 1.0.2-beta verwendet. Dies sind vor allem Webserver, aber auch Server, die z. B. für Dienste wie E-Mail, VPN, Plesk oder Adminpanels genutzt werden. Verwundbar sind die Distributionen RHEL6 / CentOS6, Debian 7 und FreeBSD 10.

Nicht betroffen sind Distributionen, die auf der älteren OpenSSL 0.9.8 aufbauen. Nutzer des Apple-Betriebssystems Mac OS X Mavericks zum Beispiel sind wegen der älteren OpenSSL-Versionen nach aktuellem Kenntnisstand vor den Angriffen sicher. Wir verwenden auf unseren Servern noch OpenSSL 0.9.8, auch die Zertifikate wurden mit dieser Version ausgestellt und teilweise auch unter MacOS X.

Sie sollten aber in jedem Fall ein kritisches Auge auf Dienste haben, welche Sie noch bei anderen Anbietern nutzen. Fragen Sie dort nach, welche Version von OpenSSL verwendet wurde und ob schon ein Update durchgeführt wurde. Wenn dies durchgeführt wurde müssen Sie im Anschluss Ihre verwendeten Kennwörter ändern.

Kommentar verfassen

%d Bloggern gefällt das: