Zum Hauptinhalt springen

Suchen Sie nach etwas bestimmten?

Thinking Objects TOenterprise

TOsecurity alert: Schwerwiegender Bug in OpenSSL – direkt ins “Herz“

05.05.2015 - News

In Punkto Vertrauen hat es das Internet momentan nicht leicht. Diverse Geheimdienste schauen uns auf die Finger. Erst vor Kurzem wurde veröffentlicht, dass man 18 Millionen kompromittierte Benutzerkonten gefunden hat. Und jetzt, ein IT-Security Super-GAU namens "Heartbleed".

Wie nun bekannt wurde, existiert seit zwei Jahren eine Schwachstelle in OpenSSL, welche gravierende Auswirkungen hat. Unspektakulär als Code CVE-2014-160 dokumentiert, erhielt der sicherheitsrelevante Bug von den Findern den Namen "Heartbleed".

Welche Gefahr besteht durch Heartbleed?

Es ist für Angreifer möglich, vertrauliche Daten wie zum Beispiel Benutzernamen und Passwörter sowie private Schlüssel auszuspionieren.

Wie funktioniert das?

OpenSSL bietet eine freie Implementierung des TLS-Protokolls (Transport Layer Security) an. Es wird verwendet, um eine verschlüsselte Verbindung zwischen einem User-Client (u.a. via Browser) und einem Server herzustellen. Außerdem dient es dazu, dass sich Client-Computer und Server einander Lebenszeichen während einer Verbindung schicken können. Dieser sogenannte "Heartbeat" hat ein Sicherheitsleck. So ist es durch einen Angriff möglich, Speicherinhalte des Servers in einer Größe von jeweils 64 Kilobyte zu stehlen und damit die privaten Schlüssel der Zertifikate oder auch andere sensible Daten zu erlangen.

Wer ist betroffen?

Betroffen sind vor allem Systeme und Distributionen welche die Version 1.0.1 und 1.0.2-beta von OpenSSL enthalten.
Damit betrifft dies einerseits ein Vielzahl an Linux-Distributionen, andererseits Appliances, welche OpenSSL implementiert haben.

Wie kann ich mich schützen?

OpenSSL hat bereits die Version 1.0.1g als Bugfix-Patch veröffentlicht. Damit wird das Heartbleed-Leck geschlossen. Diese Patch-Version kann unter www.openssl.org heruntergeladen werden.
Nachdem Sie OpenSSL aktualisiert haben, müssen Sie auch unbedingt die privaten Schlüssel Ihrer Zertifikate tauschen und diese neu erstellen lassen.

Hersteller, welche OpenSSL implementiert haben, veröffentlichten in den letzten Tagen (meist) schnell Patches für das System bzw. leiferten eine neue Version aus.

Ein Beispiel, unser Partner NoMachine (Terminal Services):
Topic: OpenSSL security vulnerability
Patch: NoMachine version 4.2.19

Und so erhielten natürlich unsere auralis Kunden ebenfalls ein Update für die Appliance:
auralis® Version 2.2.1 beseitigt schwerwiegenden Bug in OpenSSL

Dies sind nur zwei Beispiele, und damit kommen wir zu unserem dringenden Tipp:
Prüfen Sie sehr kurzfristig Ihre Systeme!

Bei Bedarf unterstützen Sie die Kollegen von TOsecurity und TOsupport gerne.