Warnung – Meldung vom 16.04.2014

Information zur Heartbleed-Schwachstelle

Von der Anfang April bekannt gewordenen Schwachstelle Heartbleed, die in bestimmten Versionen der Verschlüsselungssoftware openssl vorhanden ist, waren auch eine Reihe von Servern, auch zentrale Server, an der Ruhr-Universität Bochum betroffen. Die notwendigen Sicherheitsupdates sind zeitnah installiert worden und die Serverzertifikate wurden ausgetauscht. Unter den betroffenen Servern waren auch solche, bei denen sich ein Benutzer mittels seiner RUB-LoginID validieren muss. Daher raten wir allen Nutzern, das Passwort zu ihrer RUB-LoginID zu ändern.

Zahlreiche Dienste im Internet, z.B. E-Mail-Plattformen großer Anbieter, waren ebenfalls von dieser Schwachstelle betroffen, als Nutzer solcher Dienste sollten Sie dort ebenfalls Ihr Passwort ändern. Verwenden Sie niemals dasselbe Passwort für mehrere Dienste im Internet, insbesondere nicht das Passwort ihrer RUB-LoginID.

Hintergrund

Die unter dem Namen Heartbleed bekannt gewordene Schwachstelle bezeichnet einen schwerwiegenden Programmierfehler in bestimmten Versionen der Verschlüsselungssoftware OpenSSL. Genauer gesagt ist OpenSSL eine Bibliothek, die von anderen Diensten z.B. Webservern genutzt wird, um verschlüsselte Verbindungen mit einem Klienten aufbauen zu können. Im Falle von Webservern sind dies die bekannten HTTPS-Verbindungen. Aber auch andere Produkte und (Blackbox-)Systeme, die die openssl Bibliothek nutzen, sind betroffen, so z.B. OpenVPN oder Android (siehe Liste zu Her­stel­ler­in­for­ma­tio­nen).

Die Heartbleed-Schwachstelle erlaubt es Angreifern, Teile des Hauptspeichers eines betroffenen Systems auszulesen (siehe Heise Artikel „So funktioniert der Heartbleed-Exploit“). Damit kann es einem Angreifer gelingen, an den geheimen (privaten) Schlüssel, quasi das Kronjuwel des Serversystems, zu gelangen: Jeder, der im Besitz des privaten Schlüssels ist, kann den verschlüsselten Datenaustausch zwischen einem Klienten und dem Server entschlüsseln, vorausgesetzt es gelingt ihm, den Datenaustausch zu belauschen (Man-in-the-Middle). Der vom Unternehmen Cloudflare initiierte Wettbewerb zeigte, dass Angreifer in wenigen Stunden an den privaten Schlüssel gelangen können. Neben dem privaten Schlüssel des Servers lassen sich unter Umständen auch LoginIDs und Passworte von laufenden Benutzerverbindungen aus dem Hauptspeicher auslesen.

Betroffen von dieser Schwachstelle waren unter anderem auch große Anbieter wie Google, Yahoo, Twitter, Facebook. Die Schwachstelle ist am 7. April 2014 öffentlich bekannt geworden, der Fehler war aber bereits in den OpenSSL Versionen ab Anfang 2012 enthalten.

Hier finden Sie eine Beschreibung zur Änderung Ihrer RUB-LoginID:
FAQ-Link: http://www.it-services.ruhr-uni-bochum.de/faq#faq-page-0

Heise, So funktioniert der Heartbleed-Exploit
http://www.heise.de/security/­artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html

Liste zu Herstellerinformationen bzgl. Heartbleed:
https://isc.sans.edu/­forums/diary/­Heartbleed+vendor­+notifications/­17929

Cloudflare Challenge
https://blog.cloudflare.com/­the-results-of-the-­cloudflare-challenge

Liste betroffener Anbieter:
http://mashable.com/2014/­04/09/heartbleed­-bug-websites-­affected/­#yEW9WpKuyaqq
http://www.zdnet.de/­88190491/­heartbleed-bug-­die-grossen-deutschen-e-mail-anbieter-sind-nun-sicher/

Heartbleed Servertest:
https://www.ssllabs.com/­ssltest/

Für Administratoren solcher Systeme:
Applied Crypto Hardening
https://bettercrypto.org

zum Aktuelles-Archiv