Sicherheitslücke in OpenSSL
Wie gestern Abend bekannt wurde gab es in OpenSSL eine gravierende Sicherheitslücke, die von ihren Entdeckern Heartbleed genannt wird. Die Sicherheitslücke erlaubt das Auslesen des privaten Keys eines Servers, die Auswirkungen sind somit gravierend und betreffen einen Großteil der Infrastruktur im Internet. Betroffen sind alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f.
Wir haben wenige Stunden nach Bekanntwerden der Sicherheitslücke umgehend alle unsere Server auf OpenSSL 1.0.1g aktualisiert. Zur Zeit arbeiten wir daran, sämtliche von uns verwendeten Zertifikat für SSL/TLS-Verbindungen zu ersetzen, denn es ist nicht auszuschließen, dass manche Angreifer bereits vorher von dem Problem wussten und es lässt sich auf Serverseite nicht erkennen, ob ein solcher Angriff stattgefunden hat.
Alle Nutzer, die selbst Zertifikate für HTTPS-Webseiten einsetzen, sollten sich überlegen, ob sie ihre Zertifikate ebenfalls ersetzen wollen. Zumindest bei sensiblen Seiten ist das sicher empfehlenswert. Wichtig ist dabei zu beachten, dass man auch einen neuen privaten Key erstellen muss. Eine bloße "Erneuerung" des Zertifikats ist nicht ausreichend.
Theoretisch wäre es auch denkbar, dass ein Angreifer, der zielgerichtet die Nutzer von bei uns gehosteten Webseiten beobachtet hat, bereits jetzt Passwörter mitgelesen hat. Wir halten dieses Szenario für nicht sehr wahrscheinlich, aber wer auf Nummer sicher gehen will, sollte auch seine Passwörter bei uns ändern.
Weiterhin gilt: Wer privat Linux einsetzt, sollte umgehend Updates für sein System einspielen. Alle wichtigen Linux-Distributionen stellen inzwischen aktualisierte Pakete bereit. Auch manche Anwendungssoftware kann betroffen sein.