Heartbleed zwingt zu neuem Key und Zertifikat

This article is from 2014 and has been archived. It's old and probably outdated.

Die Admins unter meinen Lesern werden es zwangsläufig bereits mitbekommen haben: Vor ein paar Tagen wurde eine kritische Sicherheitslücke in OpenSSL gefunden. Heartbleed ermöglicht es Angreifern, den Speicher von Systemen über TLS gesicherte Serververbindungen mit Heartbeat-Funktion auszulesen, solange sie eine anfällige OpenSSL-Version einsetzen. Auf diesem Wege können besipielsweise Benutzernamen, Passwörter, aktive Sitzungen und sogar private Server-Schlüssel abhanden kommen.

Anfällige OpenSSL-Versionen wurden bis zur Entdeckung zu Hunderttausenden verwendet, meist auf Webservern, aber auch auf Mailservern und VPN-Gateways. Da unklar ist, ob und welche Daten aufgrund der Lücke abgeschnorchelt worden sind, bleibt zur Sicherheit nach dem Patchen der Systeme nur:

Passwörter sowie Schlüssel auf betroffenen Systemen austauschen!

Weltweit rotieren seit der Entdeckung System-Administratoren, patchen Server, Clients und setzen Passwörter ihrer Anwender zurück.

Auch für meine Domains habe ich zur Sicherheit neue Server-Keys hinterlegt.

Ein Lob an Uberspace, die bereits ein paar Stunden nach Bekanntwerden von Heartbleed die ersten Server patchten und seitdem gut ausgelastet sind mit dem Austauschen von Keys und Neustarten von Systemen. Klasse Leistung! :-)

Mehr dazu:

Jan Beilicke

About the author

Long-time IT professional and full-time nerd. Open source enthusiast, advocating security and privacy. Sees the cloud as other people's computers. Find me on Mastodon or Twitter.