Sicherheitslücke in OpenSSL ("Heartbleed Bug") – Nutzer betroffener Dienste sollten unbedingt Passwort ändern (Update)

[NoReply]

Wie Sie vielleicht schon aus den Medien wissen, wurde Anfang der Woche eine äußerst gravierende Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL bekannt, der sogenannte "Heartbleed Bug". In dieser Mitteilung wollen wir Sie über diese Lücke und davon betroffene LRZ-Dienste informieren - verbunden mit der dringenden Empfehlung Ihr Passwort zu ändern, falls Sie einen dieser Dienste nutzen.

Die OpenSSL-Bibliothek dient dazu Verbindungen im Internet zu verschlüsseln (z.B. Zugriffe auf Webseiten oder Mailbox), so dass deren Inhalt geschützt ist gegen Abhörer. Diese Bibliothek wird in einer Vielzahl von Betriebssystemen und weiteren Anwendungen eingesetzt. Durch die Schwachstelle ist es möglich gewisse Speicherinhalte des Kommunikationspartners (also z.B. des Web- oder Mailservers) auszulesen. Und da es sich dabei auch um sehr sensitive Daten wie Passwörter oder private Schlüssel handeln kann, ist die Lücke entsprechend kritisch.

Weitere Informationen finden Sie u.a. an folgenden Orten:


-          Diverse Meldungen des Heise-Newsticker, Einstieg z.B. über den Beitrag „Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL“ (http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html), weitere Beiträge sind dort verlinkt

-          http://heartbleed.com

-          Security-Advisory des DFN-CERT (https://portal.cert.dfn.de/adv/DFN-CERT-2014-0420/) mit einer Übersicht über alle betroffenen Systeme und verfügbare Patches

-          Testseiten, mit denen Administratoren untersuchen können, ob ein eigener Server anfällig ist, gibt es z.B. unter http://filippo.io/Heartbleed und http://possible.lv/tools/hb

-          Eine sehr anschauliche Illustration des Bugs findet sich unter http://imgs.xkcd.com/comics/heartbleed_explanation.png

[Update:] Wir haben in unser Intrusion Detection System (IDS) Signaturen eingepflegt, mit deren Hilfe wir das Ausnützen der Schwachstelle erkennen können, und informieren die jeweiligen Netzverantwortlichen, wenn ein System aus ihrem Bereich auffällig wird. Für die nächsten Tage ist außerdem ein umfassender Scan aller Rechner im MWN geplant.

Am LRZ selbst waren von der Sicherheitslücke nur relativ wenig Systeme betroffen, die inzwischen alle mit neuen OpenSSL-Versionen gepatcht wurden (die meisten davon durch automatische Updates noch in der Nacht von Montag auf Dienstag) und im Laufe der Woche mit neuen Zertifikaten ausgestattet wurden. Daher schätzen wir das Risiko, dass die Sicherheitslücke nach Bekanntwerden ausgenutzt wurde, als sehr klein sein. Nicht ausgeschlossen werden kann aber natürlich, dass die Lücke von Insidern bereits vorher ausgenutzt wurde.

Daher empfehlen wir Nutzern der folgenden Systeme ihr Passwort unbedingt zu ändern:


-          postout.lrz.de (allgemeiner Postausgangsserver)

-          studlmu.lrz.de (Mailserver für Studenten der LMU)

-          studext.lrz.de (Mailserver für externe Studenten)

Weitere Systeme mit persönlichen Logins - und damit der Gefahr, dass potenziell Passwörter abgegriffen wurden - waren nicht von der Schwachstelle betroffen.

Diese Information finden Sie im WWW unter www.lrz.de/aktuell/ali00080.html<http://www.lrz.de/aktuell/ali00080.html>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lrz.de/pipermail/aktuell/attachments/20140416/9109de83/attachment.html>