Inhaltsverzeichnis
Was hat dogado unternommen?
Unser Operations-Team hat nach der Veröffentlichung dieser Lücke umgehend alle unsere Systeme, die wir mit OpenSSL schützen, geprüft und untersucht.
Wir haben bei der Prüfung keine Hinweise gefunden, die eine Vermutung zulassen das dieser Heartbleed Bug ausgenutzt wurde. Ausserdem haben wir im Zuge dieser Prüfung alle OpenSSL Installationen aktualisiert und tauschen alle Zertifikate aus.
Unsere Windows basierten Dienste, wie beispielsweise unsere Hosted Exchange Plattformen waren und sind nicht von der Sicherheitslücke betroffen.
So prüfen sie Ihr System und aktualisieren OpenSSL
Betroffen sind die OpenSSL-Versionen 1.0.1 und 1.0.2-beta. Ein OpenSSL Update um die Lücke zu schliessen existiert bereits und sollte sofort durchgeführt werden.
Filippo Valsorda bietet auf seiner Webseite einen Heartbleed Schnelltest an.
Nach dem Update ist es wichtig, die Dienste welche OpenSSL nutzen wie z.B. den Webserver neu zu starten. Alle großen Linux Distributionen haben bereits neue OpenSSL Pakete zur Verfügung gestellt. Die Installation kann meist über den Paket-Manager (apt-get, aptitude, yum, rpm) ohne großen Aufwand erfolgen.
Windows Betriebssysteme sind selbst nicht von der Sicherheitslücke betroffen, können jedoch Anwendungen und Dienste bereitstellen, welche auf OpenSSL Bibliotheken zugreifen. Prüfen Sie beim entsprechenden Hersteller, ob OpenSSL eingesetzt wird und ob eine Aktualisierung für die Anwendung bereit steht.
Als vorausschauende Handlung empfehlen wir Ihnen auf Ihren mit SSL gesicherten Systemen die Verschlüsselungsmethode „Perfect Forward Secrecy“ einzusetzen. Dies schützt davor, dass mit geschnittener SSL-Datenverkehr nachträglich mit einem entwendeten SSL-Schlüssel entschlüsselt werden kann.