Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 5 Nächste Version anzeigen »

Kurzinfo

Server, die bestimmte OpenSSL-Versionen benutzen, weisen bei der TLS-Extension "heartbeat" eine Verwundbarkeit auf. Diese kann dazu erheblichen Vertraulichkeitsverlusten führen.

ACOnet-CERT testet im Rahmen seiner Möglichkeiten (best effort) im Internet erreichbare Rechner auf aus Vorliegen der Schwachstelle und verständigt ggf. den Security-Kontakt der betroffenen Institution. Neben dem Webserver (port 443) werden seit 11.4. auch Mailserver (ports 25, 110, 143, 587, 993, 995) und einige andere getestet.

Treffsicherheit

Hoch.

Beschreibung

Die Schwachstelle ermöglicht Angreifern, den Arbeitssppeicher des Serverprozesses auszulesen.

Das kann u.A. den Vertraulichkeitsverlust von Anwendungsdaten und Systemdaten wie dem private
Key des Servers bedeuten.

Anwendungsdaten aus vorhergehenden Verbindungen

Wenn Verbindung mit Server aufgebaut wird, enthält dessen Arbeitsspeicher häufig (naturgemäß
unverschlüsselte) Daten aus früheren Verbindungen. Durch die Heartbleed-Schwachstelle werden
diese allerdings zugänglich, das u.A. können sein:

  • Usernamen und Passwörter, die z.B. in Webmasken eingegeben wurden, Session-Cookies
  • abgerufene Inhalte
  • Benutzereingaben

Systemdaten

Hier ist vor allem der private Key des Servers zu nennen. Angreifer könnnen damit abgehörte
Verbindungen entschlüsseln oder sich im Rahmen eines Man-In-The-Middle-Angriffs unbemerkt in
eine verschlüsselte Verbindung einklinken.

Welche Systeme sind betroffen?

Die Schwachstelle Heartbleed (CVE-2014-0160) betrifft grundsätzlich alle Services, die die
TLS-Implementation OpenSSL in einer der Versionen von 1.01 (März 2012) bis 1.01f (aktuell bis
April 2014)[1].

OpenSSL ist eine weitverbreitete Implementation von TLS, die zum Beispiel von Webservern,
Mailservern, XMPP-Servern verwendet wird.

Sind bereits erfolgte Angriffe erkennbar?

Anhand der normalen Logfiles lassen sich Angriffe auf die Heartbleed-Schwachstelle nicht
erkennen. Die Schwachstelle hat über zwei Jahre unbemerkt bestanden. Es ist nicht festzustellen,
ob sie bereits vor ihrer Behebung im April 2014 entdeckt und ausgenutzt wurde. Das macht die
mit der Schwachstelle verbundenen Risiken schwer kalkulierbar.

Was ist zu tun?

Advisories und verschiedene Security-Experten empfehlen eine Reihe von Maßnahmen. Da diese
zum Teil erhebliche betriebliche Auswirkungen haben, muss jede Organisation selbst über
ihre Umsetzung entscheiden.

  • Schließen der Schwachstelle
  • Installation neuer TLS-Zertifikate und Widerruf (Revocation) der alten
  • Änderung sämtlicher Passwörter, die in den vergangenen zwei Jahren über verwundbare Services transportiert wurden.

Links

Advisory von CERT.at: http://cert.at/warnings/all/20140408.html

Beschreibung der Schwachstelle: https://heartbleed.com

Online-Tests für die SSL-Implementierung, die u.a. den Heartbleed-Bug testen:

 

Erfahrungen

Derzeit keine vermerkt.

 

  • Keine Stichwörter