[Lugor] Fwd: [QSC AG] OpenSSL Sicherheitslücke

[Michael Gisbers]

Hallo zusammen,

der Support von WC hat es schön zusammengefasst.


-------- Ursprüngliche Nachricht --------
Von: QSC AG <news at ipx-server.de>
Gesendet: 8. April 2014 17:49:05 MESZ
An: michael at gisbers.de
Betreff: [QSC AG] OpenSSL Sicherheitslücke

Sehr geehrte Damen und Herren,

wir möchten Sie in diesem Newsletter auf eine akute Sicherheitslücke in OpenSSL Verschlüsselungen hinweisen.


Durch die sogenannte HeartBleed Attacke ist es entfernten Angreifern mögliche die für die OpenSSL Verschlüsselung essentiellen "Private Keys" auszulesen. Hiermit wäre es theoretisch möglich, jeglichen sicheren Datenverkehr zu entschlüsseln und mitzulesen. Betroffen von der Sicherheitslücke ist OpenSSL sofern dieses mit TLS-Heartbeat kompiliert wurden. Dies trifft auf alle großen Linux Distributoren zu, Windowssysteme sind teilweise ebenfalls von diesem Problem betroffen.


Folgende Versionen von OpenSSL sind verwundbar:
OpenSSL 1.0.1 bis 1.0.1f (inklusive)

Die OpenSSL Versionen OpenSSL 1.0.1g, OpenSSL 1.0.0, OpenSSL 0.9.8 hingegen sind von dem Problem nicht betroffen.

Falls Ihre Server betroffen sein sollten können wir Ihnen nur zu einem umgehenden Tausch der SSL Zertifikate raten. Bitte beachten Sie, dass der "Private Key" nicht erneut verwendet werden sollte. Die Lücke besteht  bereits seit über 3 Jahren, es kann also nicht gewährleistet werden, dass diese nicht in der Vergangenheit ausgenutzt worden ist.

Von der Benutzung externer Webseiten welche auf die Lücke testen kann nur abgeraten werden, die Authentizität und Vertrauenswürdigkeit dieser Webseiten ist nicht prüfbar. So kann eine Webseite einen harmlosen Test durchführen, jedoch auch die Lücke aktiv ausnutzen und sich die "Private Keys" herunterladen.

[...]

Weitere Informationen zu der Sicherheitslücke finden sie auf:
https://www.openssl.org/news/secadv_20140407.txt oder
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

[...]
-- 
 Michael Gisbers 
 http://gisbers.de