Open-SSL Sicherheitslücke

  • 10.04.2014
  • Support
  • keine Kommentare

Die Presse der letzten Wochen macht es allzu deutlich: Das Internet ist nie ganz sicher.
Vor allem aber die vor 2 Tagen unter dem „hübschen“ Namen Heartbleed kommunizierte Sicherheitslücke im Open-SSL lehrt viele das Fürchten.

Daher nachfolgend unsere Handlungsempfehlungen:

Zunächst können Sie unter den folgenden Links testen, ob Ihre Systeme betroffen sind:

http://filippo.io/Heartbleed
http://possible.lv/tools/hb/
https://sslanalyzer.comodoca.com/

Wenn Ihr System betroffen ist, empfehlen wir Ihnen dringend im ersten Schritt alle Ihre Linux Systeme auf einen aktuellen Stand zu bringen und mindestens die libSSL Bibliotheken zu erneuern und die abhängigen Server neu zu starten (per Reboot).

BETROFFEN sind folgende Versionen: 1.0.1 bis 1.0.1f (inklusive). Diese müssen dringend aktualisiert werden.

NICHT betroffen sind folgende Versionen:
1.0.1g
1.0.0
0.9.8

Wir empfehlen Ihnen ebenfalls dringend alle Kennwörter bei allen Accounts, privat oder beruflich, kurzfristig zu ändern. Dies gilt insbesondere für Kennwörter, welche Sie identisch auch für andere Zwecke verwenden. Vor allem aber bitten wir Sie Kennwörter zu ändern, welche Sie auch auf unseren Systemen verwenden.

Desweiteren müssen wir Ihnen dringend empfehlen, alle SSL Zertifikate, die auf einem betroffenen Server gelaufen sind, inklusive Private Keys neu auszustellen und die alten zu widerrufen, da nicht überprüft werden kann, ob es bereits zu einem Identitätsdiebstahl gekommen ist.

Die aktuellen Prüfungen belegen, dass i.d.R. alle SSL Zertifikate auf Linux-Systemen, die jünger als ca. 2 Jahre sind, betroffen sind.

Falls Ihr Server eine nicht betroffene Version hat, prüfen Sie Ihr Zertifikat dennoch unter folgender URL, da es auf einem korrupten Server ausgestellt worden sein kann: https://sslanalyzer.comodoca.com/

Fazit: Unsere Kunden bitte wir folgendermaßen vorzugehen:

  • Prüfen Sie, ob Sie eine verwundbare Version von OpenSSL verwendet haben oder verwenden.
  • Aktualisieren Sie OpenSSL auf die aktuellste Version. Das Release von OpenSSL 1.0.1g vom 7. April 2014 löst das beschriebene Sicherheitsproblem.
  • Erstellen Sie für verwundbare SSL-Zertifikate einen neuen CSR.
  • Schicken Sie den neuen CSR als Text (kein ZIP!) per E-Mail an unseren Support mit dem Domainnamen/CN im Betreff. Wir tauschen noch gültige SSL-Zertifikate kostenlos aus.

Einen Kommentar schreiben

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>




* Pflichtfelder