| 

.NET C# Java Javascript Exception

8
Ihr habt es wahrscheinlich schon alle mitbekommen, es klafft ein riesiges Loch in der häufig eingesetzten OpenSSL-Bibliothek. Webserver, Mailserver, Jabberserver, alles was irgendwie mit Verschlüsselung zu tun hat ist gefährdet. Ist bereits OpenSSL 1.0.1 bis 1.0.1f im Einsatz (das ist die aktuelle Version, seit 2 Jahren verfügbar) steht ein dringendes Update an auf 1.0.1g. Nicht […]

heartbleedIhr habt es wahrscheinlich schon alle mitbekommen, es klafft ein riesiges Loch in der häufig eingesetzten OpenSSL-Bibliothek. Webserver, Mailserver, Jabberserver, alles was irgendwie mit Verschlüsselung zu tun hat ist gefährdet. Ist bereits OpenSSL 1.0.1 bis 1.0.1f im Einsatz (das ist die aktuelle Version, seit 2 Jahren verfügbar) steht ein dringendes Update an auf 1.0.1g.

Nicht betroffen sind OpenSSL 1.0.0 und 0.9.8. Nicht betroffen ist auch OpenSSH (wichtiger Unterschied).

Die Lücke hat den Namen “Heartbleed” bekommen und ist unter der CVE-Nummer CVE-2014-0160 verzeichnet.

Mit Hilfe dieser Lücke können Angreifer auf “die nächsten 64KB” des Arbeitsspeichers des Prozesses zugreifen. “Die nächsten” ist aber variabel, je nachdem wo er gerade landet im Arbeitsspeicher, sodass mit einer gewissen Wahrscheinlichkeit auch der private SSL-Schlüssel zu finden ist. Dieser kann nun von außen ausgelesen werden, ohne dass es Logeinträge gibt, also völlig unsichtbar. Mit Hilfe dieses Private Keys kann der Angreifer die aufgezeichneten Trafficdaten der Vergangenheit entschlüsseln, aber auch in Echtzeit in der Zukunft den Traffic entschlüsseln. Er kann außerdem per Man-in-the-Middle anderen vorgaukeln dass sein Server gültig ist für die jeweilige Domain, und damit Phishing betreiben.

Sehr ausführliche Informationen befinden sich auf der Seite heartbleed.com.

Was ist zu tun:

  1. Herausfinden welche Software betroffen ist. Die meisten Dienste nutzen die OpenSSL Bibliothek dynamisch, greifen also auf die installierte Version des Betriebssystems zurück. Es gibt aber auch Dienste die es statisch linken, die die Biblipthek also beim Kompilieren mit in die executable reinpacken. Beide muss man finden und dann updaten. Zu nginx gibt es beispielsweise eine schöne Anleitung wie man das herausbekommt, wie das bei den anderen Programmen geht muss man individuell nachschauen: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/
  2. Stoppe den Dienst bzw. die Dienste
  3. OpenSSL updaten auf mindestens 1.0.1g oder rekompiliere OpenSSL ohne Heartbeat support
  4. statisch gelinkte Programme separat updaten
  5. Reboot des Systems, damit alle Dienste die neue OpenSSL Version verwenden
  6. Da davon ausgegangen werden muss dass der Private Key gestohlen wurde (man sieht es in keinem Logfile), muss das Zertifikat ausgetauscht werden. Es muss also das Zertifikate “reissued” werden mit einem neuen Private Key und dann das neue Zertifikat installiert werden!
  7. Das alte Zertifikat muss revoked werden, damit es nicht für Man-in-the-Middle-Attacken genutzt werden kann.

Hier einige Beispiele, was alles betroffen sein könnte:

  • Webserver: Apache, nginx, Tomcat, Apache SPDY Modul
  • Mailserver: Exim, Postfix, Dovecot
  • Andere: Jabber, HAProxy, CouchDB, ProFTPd

Mit dem folgenden Befehl kann herausgefunden werden welche Software auf OpenSSL aufbaut:

apt-cache rdepends libssl1.0.0 | tail -n +3 | xargs dpkg -l 2>/dev/null | grep '^ii' | grep -v '^ii lib'

Mit den folgenden Online-Tools kann man seine Webserver überprüfen. Leider gibt es noch keine Online-Tests beispielsweise für SMTP-STARTTLS oder Jabber etc, da muss man auf kleine Python oder Perl-Scripte zurückgreifen. Denn wie gesagt betrifft es nicht nur Webserver, sondern alle Dienste die irgendetwas mit SSL bzw. TLS am Hut haben.

Je nachdem wie viele Dienste, Server und Zertifikate man hat darf man also gut und gerne einige Stunden Arbeit investieren.

Da es bereits Module gibt für Metasploit, Nessus, Nmap und Co. gibt muss man davon ausgehen dass die Lücke bereits in großem Umfang ausgenutzt wird. Aktuell kann man nur empfehlen sich nirgends einzuloggen und ein paar Tage auf die noch nicht gefixten Dienste zu verzichten, wie beispielsweise Yahoo, Microsoft, flickr, web.de, stackoverflow und viele weitere. Online-Banking würde ich vielleicht auch ein paar Tage nicht nutzen, oder vorher alle Domains und Subdomains der Bank überprüfen. Und dann sollte man in naher Zukunft seine Passwörter ändern bei den wichtigen Diensten, sicher ist sicher, denn wer weiß ob Hacker diese Lücke nicht schon vor 2 Jahren gefunden haben und seitdem auf Sammeltour sind?

Nebenbei wurde ein Sicherheitspatch für WordPress veröffentlicht, der per Autoupdate auf die Systeme gekommen sein sollte (Wer hat alles noch kein Update aktiviert?). Es war wohl möglich sich an der Authentifizierung von WordPress vorbeizuschleichen. Eigentlich auch eine üble Sache, aber im Lichte des OpenSSL-Problems aktuell nebensächlich.

server-software update webserver https sicherheitsluecke openssl heartbeat heartbleed vulnerability
Schreibe einen Kommentar:
Themen:
vulnerability heartbleed heartbeat openssl sicherheitsluecke https webserver update server-software
Entweder einloggen... ...oder ohne Wartezeit registrieren
Benutzername
Passwort
Passwort wiederholen
E-Mail