Eine Sicherheitslücke in der Verschlüsselungssoftware OpenSSL, die bei vielen Servern im Internet zum Einsatz kommt, sorgte in den letzten Tagen für Unsicherheit. Der sogenannte Heartbleed-Bug ermöglicht es Angreifern, sensible Daten aus dem Speicher eines Servers auszulesen.
Nach Bekanntwerden der Sicherheitslücke am 08.04.2014, wurden unsere Server durch unser Rechenzentrum bereits am 09.04.2014 geprüft und wir können Ihnen Entwarnung geben! Unsere Server verwenden nicht die verwundbare Version von OpenSSL und sind somit auch nicht von dem Problem betroffen.
Nähere Informationen zum Thema Heartbleed-Bug finden Sie bei Heise.de unter:
http://www.heise.de/thema/Heartbleed
-----------------------------------------------------------------------------------------------------------------------------------
Trotzdem möchten wir Ihnen an dieser Stelle noch einmal genauere Informationen zum Thema liefern und darlegen, mit welchen Vorgehensweisen zusätzliche Sicherungsmaßnahmen erfolgreich durchgeführt werden können.
Heartbleed-Bug - was ist das?
Der Heartbleed-Bug nutzt einen Fehler in der sogenannten "Heartbeat"-Funktion von OpenSSL. Dies ist eine Kommunikations-Funktion, die Statusinformationen zwischen zwei Partnern austauscht, v. a. um festzustellen, ob die Gegenstelle noch aktiv ist. Eine fehlende Implementierung eines Speicherzugriffs kann dazu führen, dass ein Angreifer bis zu 64 KB aus dem Arbeitsspeicher des Gegenübers auslesen kann, z. B. Usernamen, Passwörter, Session-Daten oder verschlüsselte E-Mails, die als Klartext lesbar werden.
Wer ist betroffen?
Grundsätzlich betrifft der Fehler jeden Dienst, der OpenSSL in der Version 1.0.1 bis 1.0.1f oder OpenSSL 1.0.2-beta verwendet. Dies sind vor allem Webserver, aber auch Server, die z. B. für Dienste wie E-Mail, VPN, Plesk oder Adminpanels genutzt werden. Verwundbar sind die Distributionen RHEL6 / CentOS6, Debian 7 und FreeBSD 10.
Nicht betroffen sind Distributionen, die auf der älteren OpenSSL 0.9.8 aufbauen. Nutzer des Apple-Betriebssystems Mac OS X Mavericks zum Beispiel sind wegen der älteren OpenSSL-Versionen nach aktuellem Kenntnisstand vor den Angriffen sicher.
Was ist zu tun?
Updates und Patches einspielen
Jedes System mit einer angreifbaren Version von OpenSSL benötigt einen Patch oder ein Update. Für die Distributionen RHEL6 / CentOS6, Debian 7 und FreeBSD 10 sind Aktualisierungen verfügbar, die die Lücke schließen. Selbst übersetzte Versionen von OpenSSL mit der Option -DOPENSSL_NO_HEARTBEATS sind nicht betroffen, die Sourcen ab 1.0.1g enthalten einen Fix. Distributionsbezogene Updates können wie folgt eingepflegt werden:
CentOS/RHEL: yum -y update openssl
Debian apt-get update; apt-get -y install openssl libssl1.0.0
Wichtig: Nach Installation der Updates ist es unbedingt erforderlich, sämtliche Dienste des Servers neu zu starten oder das System direkt zu rebooten.
SSL-Zertifikate erneuern (Reissue)
Für alle SSL-Zertifikate, die über den SSL Manager 2.0 von InterNetX geordert wurden, kann KOSTENLOS ein Reissue durchgeführt werden. Unternehmens-validierte Zertifikate (alle außer Thawte SSL 123) werden ohne weitere Prüfung oder Verifikation ausgestellt.
Beim domain-validierte Zertifikat Thawte SSL 123 wird eine Approval-Mail an die hinterlegte Mailadresse geschickt. Die Ausstellung der neuen Zertifikate erfolgt erst, nachdem der Auftrag vom Kunden bestätigt wurde. Beachten Sie bitte, dass die Approval-Mailadresse beim Reissue nicht ausgetauscht oder angepasst werden kann.
SSL-Zertifikate löschen (Revoke)
Aktuell verifizieren die Anbieter Symantec, Thawte und GeoTrust die Daten. Alle neu ausgestellten Zertifikate werden automatisch gelöscht, als Termin dafür ist der letzte Arbeitstag der folgenden Woche anvisiert.
Sollten Sie in den letzten Wochen für ein SSL-Zertifikat einen Reissue durchgeführt haben, für den Sie das alte Zertifikat noch benötigen, schicken Sie bitte zeitnah eine E-Mail mit Angabe des "Common Name" des Zertifikates an ssl@internetx.com Wir leiten die Info für Sie weiter und lassen die entsprechenden SSL-Zertifikate vom Revoke ausschließen. Aktuelle Informationen und Details dazu können Sie dem Newsbereich im SSL-Manager 2.0 entnehmen.