OpenSSL-Update wegen Heartbleed-Bug

OpenSSL-Update wegen Heartbleed-Bug

Am Montagabend ist ein kritischer Fehler in der Kryptobibliothek OpenSSL bekannt geworden, der das Auslesen von Arbeitsspeicher ermöglicht. Diese Sicherheitslücke erlaubt es Angreifern, die Private Keys der Server und auch deren verschlüsselte Kommunikation aus der Ferne auszulesen. Das kann unter anderem Passwörter umfassen.
Der eigentliche Fehler steckt in der TLS-Erweiterung Heartbeat, die von der IETF im RFC 6520 spezifiziert wurde. Die Erweiterung ermöglicht es, bei langlebigen TLS-Verbindungen regelmäßig ein sogenanntes Keep-Alive-Signal zu senden, um einen Abbruch der Verbindung zu verhindern. Der Code ist standardmäßig in OpenSSL aktiviert.
Da es sich bei OpenSSL um eine Standardbibliothek zur Verschlüsselung handelt, sind zahlreiche Systeme von der Sicherheitslücke betroffen. Ein schnelles Handeln ist aufgrund der Schwere und Verbreitung des Problems notwendig.
Was wir getan haben
Wir haben innerhalb von 24 Stunden sämtliche betroffene Kundensysteme aktualisiert. Die betroffenen Dienste wurden neu gestartet, um zu verhindern, dass Angreifer die Sicherheitslücke ausnutzen können.
Wer prüfen will, ob seine Webseite noch für Heartbleed anfällig ist, kann unter anderem den SSL-Server-Test von Qualys oder einen Test von Filippo Valsorda verwenden. Ein Test von Lutz Donnerhacke erlaubt es sogar, ganze Netzwerkbereiche zu prüfen.
Was noch zu tun ist
Da der Heartbleed-Bug das Auslesen privater Schlüssel ermöglicht hat, ist es grundsätzlich möglich, dass mit einer verwundbaren Version von OpenSSL verwendete private Schlüssel und dadurch auch die damit erstellten Zertifikate kompromittiert sind. Wir empfehlen daher unseren Kunden, neue Zertifikate mit neuen privaten Schlüsseln erstellen und einspielen zu lassen. Es reicht ausdrücklich nicht aus, ein bestehendes Zertifikat einfach zu erneuern, da in diesem Fall der möglicherweise kompromittierte private Schlüssel erneut zum Einsatz kommt.
Zudem muss der bisher verwendete Zertifikate unbedingt zurückgerufen (revoked) werden. Anderenfalls können Angreifer, die einen solchen Schlüssel erbeutet haben, weiterhin gültige Zertifikate erstellen und für Man-in-the-Middle-Angriffe auf die eigenen Kunden und Nutzer verwenden.
Wir haben entschieden, alle von uns selbst verwendeten Zertifikate und Passwörter zu erneuern und raten auch betroffenen Kunden dazu, dies zu tun. Im Rahmen unserer Managed Services übernehmen wir auf Kundenwunsch gern die Erneuerung der Zertifikate. Betroffene Kunden werden dazu noch gesondert informiert.
Fragen rund um den Heartbleed-Bug in OpenSSL beantwortet eine FAQ auf Golem.de.

Share this post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.