Veröffentlicht am

Heartbleed-Bug: Sicherheitsloch in der OpenSSL-Implementierung

Heartbleed-Bug: Sicherheitsloch in der OpenSSL-Implementierung

Ein Fehler in der weit verbreiteten OpenSSL-Bibliothek lässt das Auslesen von Arbeitsspeicher zu. Damit können Angreifer private Keys von Servern erhalten. Eine sichere Verschlüsselung ist dann nicht mehr gewährleistet. Der Fehler, der auch als „Heartbleed-Bug“ bekannt wurde, betrifft zahlreiche verschlüsselte Serverdienste im Internet. Konkret betroffen sind alle Server-Systeme, die OpenSSL in der Version ab 1.0.1 bis zur 1.0.1f einsetzen, inklusive der Betaversionen. Das RRZE hat umgehend reagiert und die Sicherheitslücke bei seinen betroffenen Systemen geschlossen.

In der für die sichere Übertragung häufig verwendeten Programmbibliothek OpenSSL wurde kürzlich eine Sicherheitslücke entdeckt, die die Sicherheit von TLS-Verbindungen vollständig untergräbt und einen großen Teil der im Internet verfügbaren Dienste betreffen dürfte. Angreifer können durch Ausnutzung der Sicherheitslücke die vertrauliche und ansonsten verschlüsselte Übertragung zwischen Nutzer und Server abhören. Dadurch können sie u.a. in den Besitz von Logins und Passwörtern kommen.

Betroffen sind hiervon weltweit unzählige Online-Dienste, die z.B. von Banken oder von anderen Online-Shops angeboten werden. Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen.

Sind Server und Online-Dienste der FAU betroffen?

Nicht betroffen und damit auf der sicheren Seite ist der zentrale Single Sign On (SSO) -Dienst der FAU. Beim Login in die zentralen Dienstportale der Universität konnten die Zugangsdaten nicht übertragen und abgehört werden.

Server, die zwar einen sicheren Login über SSO durchführen, aber eine der verwundbaren OpenSSL-Bibliotheken nutzen, sind jedoch von der Sicherheitslücke betroffen. Unter Umständen konnten Daten, die von diesen Systemen selbst an die Nutzer gingen, partiell abgehört werden. Unwahrscheinlich, gleichwohl aber möglich ist es, dass beim Zugriff auf das zentrale IdM-Portal Daten abgehört werden konnten. Auch wenn das eigene Benutzerpasswort über das IdM-Portal neu gesetzt wurde, wäre es möglich, dass dieses abgehört wurde. Ebenso sind natürlich solche Server betroffen, die ein eigenes Login durchführen und die unsichere OpenSSL-Bibliothek nutzen.

Das Rechenzentrum rät Passworte neu zu setzen!

„Wer auf der sicheren Seite sein möchte, sollte seine Passworte neu setzen“, empfiehlt das RRZE dringend seinen Nutzern. Dies gilt nicht allein für die Dienste der Universität, sondern auch für Zugänge bei Providern, Banken und anderen Online-Dienstleistern.

Administratoren eigener Server rät das RRZE umgehend für eine Aktualisierung ihrer Systeme zu sorgen und neue SSL-Zertifikate zu beantragen.

Weitere vom RRZE herausgegebene Nachrichten zum „Heartbleed-Bug“

Quellen und weitere Informationen

Kontakt

Bei Fragen und Problemen können Sie sich gerne an die Service-Theke am RRZE wenden.

E-Mail: rrze-zentrale@fau.de