[Lugor] Fwd: [QSC AG] OpenSSL Sicherheitslücke

Michael Gisbers michael at gisbers.de
Mi Apr 9 07:52:41 CEST 2014 

On 9. April 2014 07:46:06 MESZ, Michael Gisbers <michael at gisbers.de> wrote:
>Hallo zusammen,
>
>der Support von WC hat es schön zusammengefasst.
>
>
>-------- Ursprüngliche Nachricht --------
>Von: QSC AG <news at ipx-server.de>
>Gesendet: 8. April 2014 17:49:05 MESZ
>An: michael at gisbers.de
>Betreff: [QSC AG] OpenSSL Sicherheitslücke
>
>Sehr geehrte Damen und Herren,
>
>wir möchten Sie in diesem Newsletter auf eine akute Sicherheitslücke in
>OpenSSL Verschlüsselungen hinweisen.
>
>
>Durch die sogenannte HeartBleed Attacke ist es entfernten Angreifern
>mögliche die für die OpenSSL Verschlüsselung essentiellen "Private
>Keys" auszulesen. Hiermit wäre es theoretisch möglich, jeglichen
>sicheren Datenverkehr zu entschlüsseln und mitzulesen. Betroffen von
>der Sicherheitslücke ist OpenSSL sofern dieses mit TLS-Heartbeat
>kompiliert wurden. Dies trifft auf alle großen Linux Distributoren zu,
>Windowssysteme sind teilweise ebenfalls von diesem Problem betroffen.
>
>
>Folgende Versionen von OpenSSL sind verwundbar:
>OpenSSL 1.0.1 bis 1.0.1f (inklusive)
>
>Die OpenSSL Versionen OpenSSL 1.0.1g, OpenSSL 1.0.0, OpenSSL 0.9.8
>hingegen sind von dem Problem nicht betroffen.
>
>Falls Ihre Server betroffen sein sollten können wir Ihnen nur zu einem
>umgehenden Tausch der SSL Zertifikate raten. Bitte beachten Sie, dass
>der "Private Key" nicht erneut verwendet werden sollte. Die Lücke
>besteht  bereits seit über 3 Jahren, es kann also nicht gewährleistet
>werden, dass diese nicht in der Vergangenheit ausgenutzt worden ist.
>
>Von der Benutzung externer Webseiten welche auf die Lücke testen kann
>nur abgeraten werden, die Authentizität und Vertrauenswürdigkeit dieser
>Webseiten ist nicht prüfbar. So kann eine Webseite einen harmlosen Test
>durchführen, jedoch auch die Lücke aktiv ausnutzen und sich die
>"Private Keys" herunterladen.
>
>[...]
>
>Weitere Informationen zu der Sicherheitslücke finden sie auf:
>https://www.openssl.org/news/secadv_20140407.txt oder
>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
>
>[...]

Tolles Autocomplete. Sollte QSC und nicht WC sein.
-- 
 Michael Gisbers 
 http://gisbers.de

Mehr Informationen über die Mailingliste linux