Seit Dienstag sorgt eine Sicherheitslücke in der Software OpenSSL für Schlagzeilen. Der sogenannte Heartbleed-Bug ermöglicht es Angreifern, sensible Daten aus dem Speicher eines Servers auszulesen. Das Bekanntwerden der Lücke hat viele verunsichert. Was aber sollten Seitenbetreiber und Internetnutzer jetzt beachten? Die wichtigsten Fragen im Überblick:
1. Wer ist betroffen?
Grundsätzlich betrifft der Fehler jeden Dienst, der OpenSSL in der Version 1.0.1 bis 1.0.1f oder OpenSSL 1.0.2-beta verwendet. Das sind vor allem Webserver, aber auch solche, die zum Beispiel für Dienste E-Mail, VPN, Plesk oder Adminpanel genutzt werden.
Inzwischen ist klar, dass folgende Distributionen verwundbar waren:
- RHEL6 / CentOS6 (Die Lücke wurde mit dem letzten OpenSSL 1.0.1e-16 Update geschlossen)
- Debian 7
- FreeBSD 10
Nicht betroffen sind Distributionen, die auf der älteren OpenSSL 0.9.8 aufbauen. Nutzer des Apple-Betriebssystems Mac OS X Mavericks zum Beispiel sind wegen der älteren OpenSSL-Versionen nach jetzigem Kenntnisstand vor den Angriffen sicher.
2. Wo liegt die Schwachstelle?
Der Fehler liegt in der sogenannten "Heartbeat"-Funktion von OpenSSL – daher auch der Name "Heartbleed"-Bug. Der Heartbeat ist eine Kommunikations-Funktion, die Statusinformationen zwischen zwei Partnern austauscht. Vor allem, um festzustellen, ob die Gegenstelle noch aktiv ist. Eine fehlende Implementierung eines Speicherzugriffs kann dazu führen, dass ein Angreifer bis zu 64KB aus dem Arbeitsspeicher des Gegenübers auslesen kann.
3. Welche Daten können erbeutet werden?
Der Inhalt der 64KB kann beliebige sensible Daten enthalten. Zum Beispiel Usernamen, Passwörter, Sessiondaten oder verschlüsselte E-Mails, die dann im Klartext lesbar sind. Der Angriff ist auf den betroffenen Systemen nur schwer nachzuvollziehen.
4. Wie kann der Fehler behoben werden?
Jedes System, das eine angreifbare Version von OpenSSL verwendet, benötigt einen Patch oder ein Update. Für die oben genannten Distributionen sind inzwischen Aktualisierungen verfügbar, die die Lücke schließen.
Selbst übersetzte Versionen von OpenSSL mit der Option -DOPENSSL_NO_HEARTBEATS sind nicht betroffen, die Sourcen ab 1.0.1g enthalten einen Fix.
Distributionsbezogene Updates können wie folgt eingepflegt werden:
- CentOS/RHEL: yum -y update openssl
- Debian apt-get update; apt-get -y install openssl libssl1.0.0
Nach Installation der Updates ist es unbedingt erforderlich, dass sämtliche Dienste des Servers neugestartet werden, oder das System direkt rebooted wird.
5. Muss ich meine SSL-Zertifikate austauschen?
Genau genommen ja. Prinzipiell war vor dem Update ein Angriffsvektor verfügbar. Daher ist es nicht ausgeschlossen, dass Daten durch Dritte abgegriffen wurden. Der Austausch eines Zertifikats wird im SSL Manager über die Funktion "Zertifikat neu ausstellen" unter Tools durchgeführt. Die Re-issues sind kostenlos. Der Austausch sollte natürlich erst nach dem Update von OpenSSL erfolgen.
6. Was kann ich meinen Kunden/Nutzern empfehlen?
Private Nutzer sollten ebenfalls auf Updates für Browser, Mailprogramme und anderen Anwendungen achten und diese gegebenenfalls unverzüglich installieren. Um auf Nummer sicher zu gehen, empfiehlt es sich, die persönlichen Passwörter (zum Beispiel von E-Mail-Accounts oder Sozialen Netzwerken) zu ändern.
Server- und Seitenbetreiber sollten außerdem auf Unregelmäßigkeiten im Verhalten ihrer Systeme achten. Mit einem Online-Tool kann außerdem das System überprüft werden.
