OpenSSL hat Herzblut verloren
Der OpenSSL Fehler gestattet es, den Hauptspeicher der betroffenen Maschine ohne jedes Sicherheitsabfrage von Ferne aus auszulesen, wenn diese eine TLS Verbindung mit der Heartbeat-Erweiterung anbietet. Die dabei gefährdeten Daten sind als kompromittiert anzusehen, weil der Fehler grundsätzlich seit 2012 besteht:
- Private Schlüssel von Zertifikaten. Diese dienen zum Aufbau der TLS Verbindung und sind somit im gleichen Speichersegment wie die anfällige Software.
- Authenisierungsinformationen wie Cookies, Logins und Paßworte. Diese sollten mit der TLS Verbindung geschützt werden und sind deswegen mit hoher Wahrscheinlichkeit betroffen.
- Weitere geheime Informationen, wie Dokumente und Zugangsdaten, die von anderen Diensten benutzt werden. Der Zugriff auf den Speicherbereich anderer Software ist nicht ganz so leicht, aber möglich.
Notwendige Aktionen
- Behebung der Schwachstelle durch Update der betroffenen Bibliotheken.
- Prüfung, ob wirklich keine Altbestände an verwundbaren Bibliotheken existieren. (statisch einkompiliert oder lokal beim Programm beigelegt)
- Neustart aller betroffenen Dienste
- Austausch aller privaten Schlüssel, Neuausstellung von Zertifikaten, Sperrung der alten Zertifikate.
- Wechsel aller Paßworte, die mit dem System in Berührung kamen.
Welche Systeme sind betroffen?
Für die Admins steht nun die Frage, ob wirklich alle eignen oder gehosteten Systeme aktuell verwundbar sind.
Dabei genügt es nicht, auf Port 443 (https) zu testen, denn viele Dienste können ihre Kommunikation extra oder auf Kommando verschlüsseln. Dies betrifft unter anderem:
- E-Mail Transport per SMTP(25) mit STARTTLS.
- E-Mail Abruf per POP3 entweder per POP3S(995) oder mit STARTTLS(110).
- E-Mail Abruf per IMAP entweder per IMAPS(993) oder STARTTLS(143).
- LDAP Abfragen per LDAPS(636) oder per StartTLS(389)
- MySQL Datenbank (3306): MySQL ist oft mit bundled SSL Code kompiliert, nicht gegen die Systemlib.
- mod_spdy ist standardmäßig statisch gegen eine alte Version gelinkt.
In der Liste fehlt bestimmt noch eine ganze Menge weitere Dienste, die ich versuche nach und nach zu ergänzen.
Aber hier erstmal der Link zum Scanner: Teste jetzt!
Wer selbst testen will, nimmt das Perl-Script.
1 Kommentare