Der Heartbleed OpenSSL Bug betrifft nicht nur Linux Nutzer, auch Server von Konzernen, Banken, etc., die die anfälligen OpenSSL Versionen nutzen sind betroffen.
Kurz gesagt ermöglicht dieser Bug dem Angreifer das Wiederherstellen der Primären und sekundären Schlüssel, die zum Aufbau der Verbindung und zum Verschlüsseln des Inhalts genutzt werden. Hat der Angreifer die Schlüssel reproduziert, kann er ohne Problem jede folgende Verbindung entschlüsseln oder auch den Server/Client mimen, sprich Man-In-The-Middle Attacken ausführen, um Schadcode einzuschleusen oder an weitere Daten zu gelangen.
Die Passwörter zu ändern und für jeden Dienst ein separates Passwort anzulegen bleibt generell anzuraten.
Ob ein Server von dem Problem betroffen ist, kann man mit einem online Tool testen: https://www.ssllabs.com/ssltest/analyze.html
Die betroffenen OpenSSL Versionen:
- OpenSSL 1.0.1 bis inklusive 1.0.1f
betroffenen Betriebssysteme:
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
- Android OS Jelly Bean 4.1.1
Wie man dieses Problem behebt:
Das OpenSSL Update auf 1.0.1.g bzw der Patch vom 07.04.2014 behebt den Heartbeat Bug; https://github.com/openssl/openssl/commit/731f431497f463f3a2a97236fe0187b11c44aead
Die meisten Distributionen haben die OpenSSL Version mittlerweile gepatcht, daher genügt ein Update des OpenSSL Pakets und aller abhängiger Pakete über den jeweiligen Paketmanager. Ein Downgrade auf 0.98 wäre ebenfalls möglich.
Debian Wheezy:
die folgenden repos der /etc/apt/sources.list hinzufügen:
deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main
Packete updaten :
#/bin/bash
apt-get update
apt-get upgrade
Gentoo Linux:
#/bin/bash
emerge --ask --oneshot --verbose >=dev-libs/openssl-1.0.1g
Nachdem man die openssl libs und bins upgedatet hat, muss man alle Dienste, die davon abhängig sind neu starten.
Quellen:
https://github.com/openssl/openssl/commit/731f431497f463f3a2a97236fe0187b11c44aead
Posted at 2014-04-08 06:06:31( updated at 2014-05-02 23:33:12 )
in security
Tags: