Quelle anzeigen

{html}<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>{html}

Kurzinfo

Server, die bestimmte OpenSSL-Versionen benutzen, weisen bei der TLS-Extension "heartbeat" eine Verwundbarkeit auf. Diese kann dazu erheblichen Vertraulichkeitsverlusten führen.

ACOnet-CERT testet im Rahmen seiner Möglichkeiten (best effort) Webserver auf Port 443 auf Vorliegen der Schwachstelle und verständigt ggf. den Security-Kontakt der betroffenen

Institution.

Treffsicherheit

Hoch.

Beschreibung

Die Schwachstelle ermöglicht Angreifern, den Arbeitssppeicher des Serverprozesses auszulesen.

Das kann u.A. den Vertraulichkeitsverlust von Anwendungsdaten und Systemdaten wie dem private
Key des Servers bedeuten.

Anwendungsdaten aus vorhergehenden Verbindungen

Wenn Verbindung mit Server aufgebaut wird, enthält dessen Arbeitsspeicher häufig (naturgemäß
unverschlüsselte) Daten aus früheren Verbindungen. Durch die Heartbleed-Schwachstelle werden
diese allerdings zugänglich, das u.A. können sein:

Usernamen und Passwörter, die z.B. in Webmasken eingegeben wurden, Session-Cookies
abgerufene Inhalte
Benutzereingaben

Systemdaten

Hier ist vor allem der private Key des Servers zu nennen. Angreifer könnnen damit abgehörte
Verbindungen entschlüsseln oder sich im Rahmen eines Man-In-The-Middle-Angriffs unbemerkt in
eine verschlüsselte Verbindung einklinken.

Welche Systeme sind betroffen?

Die Schwachstelle Heartbleed (CVE-2014-0160) betrifft grundsätzlich alle Services, die die
TLS-Implementation OpenSSL in einer der Versionen von 1.01 (März 2012) bis 1.01f (aktuell bis
April 2014)[1].

OpenSSL ist eine weitverbreitete Implementation von TLS, die zum Beispiel von Webservern,
Mailservern, XMPP-Servern verwendet wird.

Sind bereits erfolgte Angriffe erkennbar?

Anhand der normalen Logfiles lassen sich Angriffe auf die Heartbleed-Schwachstelle nicht
erkennen. Die Schwachstelle hat über zwei Jahre unbemerkt bestanden. Es ist nicht festzustellen,
ob sie bereits vor ihrer Behebung im April 2014 entdeckt und ausgenutzt wurde. Das macht die
mit der Schwachstelle verbundenen Risiken schwer kalkulierbar.

Was ist zu tun?

Advisories und verschiedene Security-Experten empfehlen eine Reihe von Maßnahmen. Da diese
zum Teil erhebliche betriebliche Auswirkungen haben, muss jede Organisation selbst über
ihre Umsetzung entscheiden.

Schließen der Schwachstelle
Installation neuer TLS-Zertifikate und Widerruf (Revocation) der alten
Änderung sämtlicher Passwörter, die in den vergangenen zwei Jahren über verwundbare Services transportiert wurden.

Links

http://cert.at/warnings/all/20140408.html

https://heartbleed.com

Erfahrungen

Derzeit keine vermerkt.