Aktuelles

Aktuelle Informationen zur Heartbleed-Sicherheitslücke

Sehr geehrte Damen und Herren,

Sie haben sicher schon aus den Medien von einer aktuellen Sicherheitslücke der OpenSSL-Bibliotheken gehört, die es Angreifern erlaubt, Informationen aus Teilen des Arbeitsspeichers auszulesen.

Die Hersteller arbeiten seit Tagen mit Hochdruck an der Thematik, um zu identifizieren, welche Produkte und Softwareversionen konkret betroffen sind und wie geeignete Gegenmaßnahmen zu treffen sind. Wir haben dazu ein paar Fakten zusammengestellt, mit denen Sie sich einen Überblick über die Tragweite des Problems und die Auswirkungen auf Ihre IT verschaffen können:

Allgemeine Informationen

Was ist OpenSSL:

Die quelloffenen OpenSSL-Bibliotheken kommen in einer sehr großen Zahl Server- und Client-Software zum Einsatz. Die Liste reicht vom Web-Server Apache über Google Android und viele OpenSource Produkte bis hin zu kommerziellen Systemen z.B. aus dem Hause Cisco.

Was ist die Betroffene Heartbeat Funktion, warum heißt die Lücke Heartbleed:

Die so genannte "Heartbleed"-Lücke (=Herzbluten) steckt in der Heartbeat-Funktion der OpenSSL-Software. Darüber tauschen die beiden Kommunikationspartner Statusinformationen aus. Die Schwachstelle (CVE-2014-0160) ermöglicht es beiden, bei der Gegenstelle bis zu 64 KB Daten pro Heartbeat aus dem Arbeitsspeicher auszulesen. Darin stecken zum Beispiel private Schlüssel für Server-Zertifikate, Benutzernamen und Passwörter, sowie weitere, verschlüsselt übertragene Daten, etwa zu Banktransaktionen wie Überweisungen. Der Zugriff ist jedoch nur auf den Speicherbereich beschränkt, den die OpenSSL Bibliothek verwaltet. Es kann also nicht der gesamte Speicher eines betroffenen Systems ausgelesen werden.

http://www.pc-magazin.de/news/heartbleed-openssl-sicherheitsluecke-cve-2014-0160-verschluesselung-open-source-betroffene-server-2160220.html

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

Welche Versionen von OpenSSL sind betroffen:

Die Sicherheitslücke besteht bereits seit 2012 und ist in der Version 1.0.1g behoben. Man kann sich also ohne nähere Analyse erst in Version 1.0.1g sicher sein nicht mehr von dem Problem betroffen zu sein. Die Beta Version 1.0.2 wurde in Version 1.0.2-beta2 von diesem Fehler befreit.

Aber eine ältere Version bedeutet nicht zwingend ein Risiko, da die unsicheren Funktionen der betroffenen Versionen nicht unbedingt enthalten (einkompiliert) sind. So ist z.B. Android OS 4.1.1 von dem Problem betroffen, in Android OS 4.1.2 und neueren, wie auch in älteren Android Versionen (<= 4.1.0) ist die Heartbeat Funktion gar nicht enthalten. Dort gibt es also keinen Angriffspunkt.

Wo besteht dringender Handlungsbedarf:

Zunächst sind einmal die Systeme dringend zu prüfen und ggf. zu aktualisieren, die direkt aus dem Internet erreichbar sind (Webserver, VPN Gateways etc). Eine Auflistung der betroffenen Produkte zusammenzustellen wäre nie aktuell genug, da die Hersteller teilweise noch ständig weitere Prüfungsergebnisse veröffentlichen. Wir verweisen daher auf die entsprechenden Übersichtsseiten der Hersteller, sofern die internen Analysen dort noch nicht abgeschlossen sind.

Was passiert als nächstes?

Wenn Sie die betroffenen Softwareprodukte und Firmware aktualisiert haben, sollten die Zertifikate auf diesen Geräten als kompromittiert behandelt und neu ausgestellt werden.

Unter folgenden Links können Sie die aktuellen Informationen der Hersteller einsehen

CISCO:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed

 

NetApp:
https://library.netapp.com/ecm/ecm_get_file/ECMP1516404

VMware:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2076225

Citrix:
http://support.citrix.com/article/CTX140605

 

Microsoft:
http://blogs.technet.com/b/security/archive/2014/04/10/microsoft-devices-and-services-and-the-openssl-heartbleed-vulnerability.aspx?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+securityguy+(Jeff+Jones+Security+Blog)


Securepoint UTM Firewall:

http://wiki.securepoint.de/index.php/Changelog_sp11#Build_11.4.1.3

Securepoint SSL VPN Client:

http://support.securepoint.de/viewtopic.php?f=3&t=5761

Securepoint UMA Emailarchivierung:

Die Securepoint UMA ist ab der Version 2.0 von dem Problem betroffen.

Mit dem Erscheinen der Version 2.2.0 wird das Problem in der UMA behoben sein.

 

Trend Micro:

http://esupport.trendmicro.com/solution/en-US/1103084.aspx

 

Symantec:

http://www.symantec.com/content/en/us/enterprise/other_resources/b-symantec-product-list-heartbleed.pdf

 

DELL:

http://www.dell.com/learn/us/en/04/campaigns/heartbleed-remediation

 

HP:

HP hat die Info rausgegeben, dass die Mehrheit ihrer Produkte NICHT von dem OpenSSL-BUG betroffen sind. Dies trifft u.a. auch auf die Produkte HP ILO 2,3,4 zu.

Betroffen sind allerdings die folgenden Produkte:

- HP Systems Management Homepages (SMH) on physical Windows and Linux servers (Version 7.x)

- HP BladeSystem Onboard Administrator Web Interface

 

EMC:

https://support.emc.com/kb/185965

Bei konkreten Rückfragen zum Thema Heartbleed wenden Sie sich bitte an ssl@bt-stemmer.de bzw. telefonisch an Ihren Ansprechpartner der BT Stemmer GmbH.

Zurück

BT Stemmer GmbH
Peter-Henlein-Straße 2
82140 Olching
Telefon: +49 (0)8142 45 86-0
Telefax: +49 (0)8142 45 86-199
E-Mail: info@bt-stemmer.de
Internet: www.bt-stemmer.de