<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0cm;
        margin-right:0cm;
        margin-bottom:0cm;
        margin-left:36.0pt;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
span.E-MailFormatvorlage17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:134106522;
        mso-list-type:hybrid;
        mso-list-template-ids:-686650608 1553204712 67567619 67567621 67567617 67567619 67567621 67567617 67567619 67567621;}
@list l0:level1
        {mso-level-start-at:16;
        mso-level-number-format:bullet;
        mso-level-text:-;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-font-family:Calibri;
        mso-bidi-font-family:"Times New Roman";}
@list l0:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        font-family:"Courier New";}
@list l0:level3
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        font-family:Wingdings;}
@list l0:level4
        {mso-level-number-format:bullet;
        mso-level-text:\F0B7;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        font-family:Symbol;}
@list l0:level5
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        font-family:"Courier New";}
@list l0:level6
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        font-family:Wingdings;}
@list l0:level7
        {mso-level-number-format:bullet;
        mso-level-text:\F0B7;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        font-family:Symbol;}
@list l0:level8
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        font-family:"Courier New";}
@list l0:level9
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        font-family:Wingdings;}
ol
        {margin-bottom:0cm;}
ul
        {margin-bottom:0cm;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="DE" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Wie Sie vielleicht schon aus den Medien wissen, wurde Anfang der Woche eine äußerst gravierende Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL bekannt, der sogenannte "Heartbleed Bug". In dieser Mitteilung wollen wir Sie über
 diese Lücke und davon betroffene LRZ-Dienste informieren - verbunden mit der dringenden Empfehlung Ihr Passwort zu ändern, falls Sie einen dieser Dienste nutzen.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Die OpenSSL-Bibliothek dient dazu Verbindungen im Internet zu verschlüsseln (z.B. Zugriffe auf Webseiten oder Mailbox), so dass deren Inhalt geschützt ist gegen Abhörer. Diese Bibliothek wird in einer Vielzahl von Betriebssystemen und weiteren
 Anwendungen eingesetzt. Durch die Schwachstelle ist es möglich gewisse Speicherinhalte des Kommunikationspartners (also z.B. des Web- oder Mailservers) auszulesen. Und da es sich dabei auch um sehr sensitive Daten wie Passwörter oder private Schlüssel handeln
 kann, ist die Lücke entsprechend kritisch.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Weitere Informationen finden Sie u.a. an folgenden Orten:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt;mso-list:l0 level1 lfo1"><![if !supportLists]><span style="mso-list:Ignore">-<span style="font:7.0pt "Times New Roman"">         
</span></span><![endif]>Diverse Meldungen des Heise-Newsticker, Einstieg z.B. über den Beitrag „Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL“ (<a href="http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html">http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html</a>),
 weitere Beiträge sind dort verlinkt<o:p></o:p></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt;mso-list:l0 level1 lfo1"><![if !supportLists]><span style="mso-list:Ignore">-<span style="font:7.0pt "Times New Roman"">         
</span></span><![endif]><a href="http://heartbleed.com">http://heartbleed.com</a><o:p></o:p></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt;mso-list:l0 level1 lfo1"><![if !supportLists]><span style="mso-list:Ignore">-<span style="font:7.0pt "Times New Roman"">         
</span></span><![endif]>Security-Advisory des DFN-CERT (<a href="https://portal.cert.dfn.de/adv/DFN-CERT-2014-0420/">https://portal.cert.dfn.de/adv/DFN-CERT-2014-0420/</a>) mit einer Übersicht über alle betroffenen Systeme und verfügbare Patches<o:p></o:p></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt;mso-list:l0 level1 lfo1"><![if !supportLists]><span style="mso-list:Ignore">-<span style="font:7.0pt "Times New Roman"">         
</span></span><![endif]>Testseiten, mit denen Administratoren untersuchen können, ob ein eigener Server anfällig ist, gibt es z.B. unter
<a href="http://filippo.io/Heartbleed">http://filippo.io/Heartbleed</a> und <a href="http://possible.lv/tools/hb">
http://possible.lv/tools/hb</a><o:p></o:p></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt;mso-list:l0 level1 lfo1"><![if !supportLists]><span style="mso-list:Ignore">-<span style="font:7.0pt "Times New Roman"">         
</span></span><![endif]>Eine sehr anschauliche Illustration des Bugs findet sich unter
<a href="http://imgs.xkcd.com/comics/heartbleed_explanation.png">http://imgs.xkcd.com/comics/heartbleed_explanation.png</a><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[Update:] Wir haben in unser Intrusion Detection System (IDS) Signaturen eingepflegt, mit deren Hilfe wir das Ausnützen der Schwachstelle erkennen können, und informieren die jeweiligen Netzverantwortlichen, wenn ein System aus ihrem Bereich
 auffällig wird. Für die nächsten Tage ist außerdem ein umfassender Scan aller Rechner im MWN geplant.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Am LRZ selbst waren von der Sicherheitslücke nur relativ wenig Systeme betroffen, die inzwischen alle mit neuen OpenSSL-Versionen gepatcht wurden (die meisten davon durch automatische Updates noch in der Nacht von Montag auf Dienstag) und
 im Laufe der Woche mit neuen Zertifikaten ausgestattet wurden. Daher schätzen wir das Risiko, dass die Sicherheitslücke nach Bekanntwerden ausgenutzt wurde, als sehr klein sein. Nicht ausgeschlossen werden kann aber natürlich, dass die Lücke von Insidern bereits
 vorher ausgenutzt wurde.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Daher empfehlen wir Nutzern der folgenden Systeme ihr Passwort unbedingt zu ändern:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt;mso-list:l0 level1 lfo1"><![if !supportLists]><span style="mso-list:Ignore">-<span style="font:7.0pt "Times New Roman"">         
</span></span><![endif]>postout.lrz.de (allgemeiner Postausgangsserver)<o:p></o:p></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt;mso-list:l0 level1 lfo1"><![if !supportLists]><span style="mso-list:Ignore">-<span style="font:7.0pt "Times New Roman"">         
</span></span><![endif]>studlmu.lrz.de (Mailserver für Studenten der LMU)<o:p></o:p></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt;mso-list:l0 level1 lfo1"><![if !supportLists]><span style="mso-list:Ignore">-<span style="font:7.0pt "Times New Roman"">         
</span></span><![endif]>studext.lrz.de (Mailserver für externe Studenten)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Weitere Systeme mit persönlichen Logins - und damit der Gefahr, dass potenziell Passwörter abgegriffen wurden - waren nicht von der Schwachstelle betroffen.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Diese Information finden Sie im WWW unter <a href="http://www.lrz.de/aktuell/ali00080.html">
www.lrz.de/aktuell/ali00080.html</a><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>