OpenSSL Bug Heartbleed
Heartbleed sorgt im Moment für eine unvorhergesehene Menge Streß für alle - egal ob Administratoren oder auch
Privatpersonen - praktisch jeder ist betroffen, sofern Mann/Frau dem Internet nicht großräumig ausweicht.
In diesem Artikel versuchen wir einige wichtige - und aus unserer Sicht essentielle - Informationen zusammen zu
fassen.
Heartbleed - das Problem
Das Problem an Heartbleed ist, dass sich in einer Open Source Software, die sehr, sehr oft und gerne eingesetzt wird,
in der Version 1.0.1 ein Bug eingeschlichen hat, der es ermöglicht, beim SSL-Verbindungsaufbau Daten von der
jeweiligen anderen Seite auszulesen. Dabei kann es sich sowohl um das SSL Zertifikat für die Verbindung als auch
"nur" um Benutzer und deren Passwörter handeln.
Für Technikinteressierte gibt es dazu sowohl im Deutschen als
auch im Englischen Wikipedia sehr gute Artikel.
Heartbleed - die Auswirkung
Durch entsprechend geschriebene Programme wurde nachweislich versucht, diese Security Lücke auszunutzen und
Benutzerdaten zu sammeln, bevor die Lücke geschlossen wurde. Da dabei auch das SSL Zertifikat selbst ausgelesen
worden sein kann, werden gerade sehr, sehr viele SSL Zertifikate ausgetauscht - das Problem dabei ist, dass die
alten (komprimitierten) Zertifikate nicht einfach und schnell für ungültig erklärt werden können und somit immer
noch eine Gefahr zB: für Phishing Attacken darstellen.
Heartbleed - der Patch und sichere Versionen
Alle Versionen von OpenSSL bis inkl. 1.0.0 sind sicher. Für 1.0.1 gibt es den Patch mit der Version 1.0.1g. Die
1.0.2-beta ist komplett betroffen und sollte nicht eingesetzt werden.
Was muss Mann/Frau jetzt machen?
Sich NEUE Passwörter ausdenken und Passwörter überall ändern - auch wenn der Anbieter nicht von Heartbleed betroffen
ist, kann dass Passwort ja möglicherweise (sofern es ident war) von einer betroffenen Seite ausgelesen worden sein.
Auf mashable.com finden Sie eine Liste
der populärsten Internet Anbieter und Seiten mit deren Aussagen zu diesem Bug - bei vielen wird empfohlen, das
Passwort zu ändern. Darunter befinden sich unter anderem Facebook, Instagram, Tumblr, Google, Yahoo, Gmail, Amazon
Web Services, usw.
Was müssen AdministratorInnen jetzt machen?
Für alle im Unternehmen eingesetzte Produkte verifizieren, ob diese betroffen sind und entsprechend Patches vom
Hersteller anfordern/einspielen.
Reicht es die Services, die via Internet erreichbar sind, zu schützen?
Nein, definitiv nicht - es gibt schon Hinweise, dass auch Trojaner und BotNetze versuchen, den Heartbleed Bug
auszunutzen - das bedeutet, ein übernommener Client PC im Unternehmensnetzwerk kann Ihre verwundbaren Systeme
ansprechen!
Hier die Informationen für einige - aus unserer Sicht sehr wichtige - Systeme.
System |
Analyse, Patches und was Sie machen müssen |
Linux |
OpenSSL ist extrem weit verbreitet und praktisch auf jeder Installation zu finden - solange keine
SSL Verbindung aufgebaut wird, sollte es kein Problem sein, aber können Sie 100% sicher sein,
dass nie jemand einen SSL Listener oder eine SSL Verbindung aufbaut?
Kontrollieren:
rpm -qa | grep openssl
openssl-1.0.0-20.el6_2.5.x86_64
In diesem Beispiel wären Sie auf der sicheren Seite. Finden Sie aber openssl-1.0.1... müssen Sie
den entsprechenden Patch besorgen und installieren. Oracle hat bei Oracle Enterprise Linux den
Patch übrigens in die Version openssl-1.0.1e-16.7.el6_5.7.x86_64 portiert! Somit ist die mittels
YUM UPDATE gefundene Version 1.0.1e-16.el6_5.7 sicher!
|
OracleVM |
Es gilt das Gleiche wie für Linux allgemein. Bei den von Oracle ausgelieferten OVM Server ISOs wird
openssl bis inkl. 1.0.0 verwendet. Der OVM Manager wird jedoch auf ein bestehendes Linux eingespielt
- hier besteht die Möglichkeit, dass eine verwundbares OpenSSL Version zum Einsatz kommt. Das
gleiche gilt für jene, die RPM Packages nachinstalliert haben. |
Andere Produkte von Oracle |
Information finden Sie auf der Oracle Homepage.
|
VMware ESXi Hypervisor |
Sie müssen zuerst auf ESXi 5.5 Update 1 updaten und dort noch einen Patch einspielen. Weitere
Informationen finden Sie auf der hier
auf der VMware Homepage. Eine Liste der anderen betroffenen Produkte von VMware gibt es hier. |
Storage Hersteller |
Praktisch jeder Storagehersteller hat Produkte, die betroffen sind. NetApp pflegt dazu
beispielsweise einen Artikel.
|
Gibt es eigentlich einen wirksamen Schutz vor Heartbleed Attacken?
Die Frage stellt sich vor allem dann, wenn der Softwareanbieter nicht schnell genug Patches bereit stellt oder es zu
lange dauert diese zu installieren.
Die erfreuliche Antwort: Ja, man kann
Wie Sie die Lösungen von Imperva vor dem OpenSSL Security Bug Heartbleed schützen.
Imperva bietet gleich mit zwei
Produkten einen Schutz vor Attacken, die Heartbleed ausnutzen wollen.
- Als Teil der SecureSphere WAF (Web Application Firewall) kann man seit dem 10.
April entsprechende Attacken blocken.
- Nutzer von Incapsula - der Cloud Lösung von Imperva - sind ebenfalls seit 10. April automatisch
geschützt.
Wenn Sie Interesse an Imperva Produkten oder Lösungen haben, stehen wir Ihnen jederzeit gerne zur Verfügung.