Viele Webserver sind anfällig für einen vor kurzem unter dem Namen "Heartbleed" (Herzbluten) bekannt gewordenen Angriff. Erfahren Sie mehr über die erste Sicherheitslücke mit eigenem Logo.

 

http://www.heise.de/security/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html

Der Ursprung des Begriffs sind so genannte "Heartbeat" (Herzschlag) Anfragen. Die Sicherheitslücke steckt im Code für die sogenannte Heartbeat-Erweiterung von TLS. Sie wurde vor knapp zwei Jahren mit OpenSSL 1.0.1 eingeführt und dient dazu langlebige, TLS-gesicherte Verbindungen zu erleichtern. Genutzt wird sie aktiv nur selten, aber in der Standardeinstellung von aktuellen OpenSSL-Versionen ist die Erweiterung aktiv.

Was richtet die Sicherheitslücke "Heartbleed" an?

Die Konsequenzen der Sicherheitslücke sind dramatisch. Passwörter, Benutzernamen, Sessiondaten (Cookies) und Sicherheitsschlüssel lassen sich von remote, ohne Authentifizierung und ebenso (nahezu) spurenlos durch einen Angreifer auslesen.

Aber nicht nur Webserver sind betroffen. Auch Mail-, FTPS-, Chat- und viele weitere Serverdienste sind unmittelbar angreifbar. Anfällig sind alle Services die OpenSSL-Versionen von 1.0.1 bis 1.0.1f nutzen, erst Version 1.0.1g behebt den Fehler. Alle großen Distributionen sind betroffen, nur SUSE Linux Enterprise Server (SLES) bleibt aufgrund einer älteren OpenSSL Version verschont. 

Zunächst gilt für Sie: So schnell wie möglich die Updates der Distributoren einspielen (siehe Referenzen unten). Ein Update der OpenSSL Software alleine reicht aber nicht aus.

Wollen Sie wirklich sicher gehen, sind alle OpenSSL Sicherheitsschlüssel die mit betroffenen Versionen ausgestellt und/oder betrieben wurden zu widerrufen (revoken) und durch neue Sicherheitsschlüssel zu ersetzen. 

Die Experten der ATIX AG stehen Ihnen bei der Überprüfung oder Aktualisierung und Härtung Ihrer Infrastruktur gerne zur Verfügung. Sie erreichen uns per E-Mail unter vertrieb@atix.de oder per Telefon unter 089 4523538-0.

Sprechen Sie uns an!

https://www.openssl.org/news/secadv_20140407.txt

https://rhn.redhat.com/errata/RHSA-2014-0376.html

https://www.debian.org/security/2014/dsa-2896

http://www.ubuntu.com/usn/usn-2165-1/