+++Der Super-GAU für Verschlüsselung+++

Dieses Thema im Forum "Security" wurde erstellt von heutger, 8. April 2014.

  1. heutger

    heutger Eingetragener Provider

    Registriert seit:
    9. Oktober 2004
    Beiträge:
    233
    Ort:
    Fulda
    Firmenname:
    PSW GROUP
    Anbieterprofil:
    Klick
    PSW GROUP richtet eine Notfall-Hotline für betroffene Kunden ein.

    Unter 0800/503750-1 stehen Ihnen die Sicherheitsexperten der PSW GROUP Rede und Antwort.

    Betroffen sind alle Zertifikate, welche mit OpenSSL genutzt wurden. Aus Sicherheitsgründen raten wir Ihnen auf OpenSSL-Version 1.0.1g upzudaten und betroffene Zertifikate schnellstmöglich umzutauschen.

    Versionen vor der aktuellen 1.0.1 wie das auf älteren Systemen noch verbreitete OpenSSL 0.9.8 sind offenbar nicht betroffen.
     
    Zuletzt bearbeitet: 8. April 2014
  2. RichBone

    RichBone Geprüfter Provider

    Registriert seit:
    7. August 2006
    Beiträge:
    2.155
    Ort:
    Eisenhüttenstadt
    Firmenname:
    RB Media Group GmbH
    Anbieterprofil:
    Klick
    AW: +++Der Super-GAU für Verschlüsselung+++

    Hallo

    wie erkennt man betroffene Zertifikate?

    Mit freundlichen Grüßen

    Martin Krüger
     
  3. weesly

    weesly Eingetragener Provider

    Registriert seit:
    19. Juli 2004
    Beiträge:
    431
    Geschlecht:
    männlich
    Ort:
    Hamburg
    Firmenname:
    Weesly Webhosting / ...
    Anbieterprofil:
    Klick
  4. kkeppler

    kkeppler Eingetragener Provider

    Registriert seit:
    12. Juni 2003
    Beiträge:
    1.895
    Ort:
    Erlangen
    Firmenname:
    Keppler IT GmbH
    Anbieterprofil:
    Klick
    AW: +++Der Super-GAU für Verschlüsselung+++

    Zertifikate erkennt man gar nicht. Wer auf Nummer sicher gehen will, muss ALLE Zertifikate (mit einem neuen Private Key natürlich!) neu anfordern, die auf irgend einem Server mit OpenSSL 1.0.1 genutzt wurden (u.a. Debian Wheezy).
    Debian Squeeze (mit OpenSSL 0.9.8) ist nicht betroffen.

    Darüber hinaus können auch andere Daten als der Private Key über diese Lücke ausgelesen worden sein (z.B. Passwörter die sich zufällig in einem Schreib-/Lesepuffer befunden haben). Es gibt bereits Hinweise, dass man mit einem einfachen Python-Script vertrauliche Daten z.B. von Yahoo auslesen kann/konnte.

    Alternative: (ist etwas ausführlicher, finde ich persönlich daher etwas hilfreicher):
    http://possible.lv/tools/hb/

    Bitte beachtet natürlich, dass die Verwendung eines solchen Dienstes auch immer eine gewisse Gefahr mit sich bringt (man weiß ja nicht wer hinter diesem Dienst so sitzt, und ob die dann bei einem ungepatchten System vielleicht gleich automatisch irgendwelche Daten abgreifen...)

    Viele Grüße

    -Klaus Keppler
     
  5. discountnetz-hosting

    discountnetz-hosting Eingetragener Provider

    Registriert seit:
    24. Mai 2011
    Beiträge:
    34
    Ort:
    Lohsa
    Firmenname:
    Discountnetz Hosting
    Anbieterprofil:
    Klick
    AW: +++Der Super-GAU für Verschlüsselung+++

    Oder den Test hier benutzen:

    http://possible.lv/tools/hb/

    Nach einem Update auf die gepatchte OpenSSL Version sollte keine Angreifbarkeit mehr angezeigt werden.

    Ob mit OpenSSL erstellte Schlüssel in der Vergangenheit abgegriffen wurden kann man nicht verifizieren wenn ich den Artikel richtig verstanden habe.

    Freundliche Grüsse
    Jan
     
  6. kkeppler

    kkeppler Eingetragener Provider

    Registriert seit:
    12. Juni 2003
    Beiträge:
    1.895
    Ort:
    Erlangen
    Firmenname:
    Keppler IT GmbH
    Anbieterprofil:
    Klick
    AW: +++Der Super-GAU für Verschlüsselung+++

    Es ist sogar völlig egal, wann oder mit welcher Software die Keys erzeugt wurden. Durch die Sicherheitslücke hat man quasi einen kleinen aber völlig ungehinderten Blick direkt in den Arbeitsspeicher einer Anwendung werfen können, welche OpenSSL nutzt (also z.B. Apache, NGINX, Postfix, Dovecot, NTP, BIND, usw.). Die Daten im Arbeitsspeicher sind natürlich i.d.R. unverschlüsselt - daher besteht eben auch das Risiko, dass der für SSL verwendete Private Key abgegriffen wurde.

    Als Serverbetreiber ist es unmöglich herauszufinden, ob und ggf. welche Daten eventuell ausgelesen wurden.
     
  7. discountnetz-hosting

    discountnetz-hosting Eingetragener Provider

    Registriert seit:
    24. Mai 2011
    Beiträge:
    34
    Ort:
    Lohsa
    Firmenname:
    Discountnetz Hosting
    Anbieterprofil:
    Klick
    AW: +++Der Super-GAU für Verschlüsselung+++

    Hmm,
    so habe ich das auch verstanden. Im Grunde hilft nur ein Neuerstellen der Schlüssel und Zertifikate es sei denn man hat die Keys auf einem Rechner ohne Internetzugriff erstellt.

    Freundliche Grüsse
    Jan
     
  8. kkeppler

    kkeppler Eingetragener Provider

    Registriert seit:
    12. Juni 2003
    Beiträge:
    1.895
    Ort:
    Erlangen
    Firmenname:
    Keppler IT GmbH
    Anbieterprofil:
    Klick
    AW: +++Der Super-GAU für Verschlüsselung+++

    Nein, noch mal: es ist völlig egal wann, wo oder wie die Keys erzeugt wurden. Diese waren womöglich im Klartext über einen Service (z.B. Webserver) abrufbar, wenn dieser OpenSSL 1.0.1 verwendet hat.

    Ein Key kann noch so geheim/isoliert erzeugt und mit einem noch so tollen Passwort geschützt sein. Damit z.B. Apache diesen für SSL-Verbindungen nutzen kann, braucht er ihn im Klartext. Deshalb müssen SSL-Keys für Webserver üblicherweise ohne Passwort gespeichert werden (ansonsten fragt Apache beim Start nach dem Passwort und entschlüsselt den Key dann direkt im Speicher). So oder so liegt der Key also im Klartext im Arbeitsspeicher des Serverprozesses - und genau darauf konnte unter Umständen mittels der Heartbleed-Attacke zugegriffen werden.

    Viele Grüße

    -Klaus Keppler
     
  9. 1st-Rootserver.de

    1st-Rootserver.de Eingetragener Provider

    Registriert seit:
    15. September 2004
    Beiträge:
    3.444
    Geschlecht:
    männlich
    Ort:
    Berlin
    Firmenname:
    1st-Rootserver
    Anbieterprofil:
    Klick
    AW: +++Der Super-GAU für Verschlüsselung+++

    ist jemanden bekannt ob LigHttpd davon auch betroffen ist?
     
  10. kkeppler

    kkeppler Eingetragener Provider

    Registriert seit:
    12. Juni 2003
    Beiträge:
    1.895
    Ort:
    Erlangen
    Firmenname:
    Keppler IT GmbH
    Anbieterprofil:
    Klick
    AW: +++Der Super-GAU für Verschlüsselung+++

    Jede Software, die OpenSSL 1.0.1 genutzt hat, ist davon betroffen.
    Unter anderem also auch LigHTTPd unter Debian Wheezy.
     

Diese Seite empfehlen