OpenSSL, Heartbleed und alles was dazu gehört

Wohnzimmerhostblogger

< Erstmal an SSH gewöhnen | Warnung vor dem Heartbleet-Check von LastPass.com >

Donnerstag, 10. April 2014

OpenSSL, Heartbleed und alles was dazu gehört

Auch wenn die Fragen hierzu bisher nicht so oft kamen, wie ich mir das erhofft hätte, mag ich mal ein wenig erzählen, wie wir in den letzten 2,5 Tagen den Heartbleed-Bug von OpenSSL erlebt haben:

Als am 7.4. gegen 19:30 das OpenSSL-Update kam, klang alles noch recht harmlos. Erst das Security Advisory eine Stunde später verdeutlichte dass da etwas im Argen lag. Wir haben dementsprechend gleich für den nächsten Morgen ein Dringlichkeits-Update angesetzt. Ich war auch versucht, das ganze noch am selben Abend durchzuziehen, aber irgendwie war mir das zu heikel, OpenSSL ist immerhin ein zentraler Bestandteil der Webserver-Software.

Am nächsten Morgen gab es dann recht schnell ein Software-Updates, einen Test im "Trockendock" und dann das Rollout auf sämtliche Server, die OpenSSL 1.0.1 nutzen - das ist mittlerweile der Großteil aller Server. Irgendwie war mir Angst und Bange, aber es ging alles gut. Und auch alle folgenden Tests waren erfolgreich.

In der Zwischenzeit haben wir mit unserem Partner für SSL-Zertifikate geklärt, wie wir am einfachsten die diversen über uns verkauften bzw. auch bei uns eingesetzten SSL-Zertifikate möglichst einfach tauschen und die alten Zertifikate widerrufen können. Die Situation ist insofern neu für uns, als das vielleicht schon mal ein private Schlüssel abhanden gekommen ist (nicht bei uns) und ein einzelnes Zertifikat getauscht werden musste. So viele potentielle Tauschvorgänge auf einmal ist hingegen komplett neu für uns.

Ich habe heute dann alle Kunden, die ein SSL-Zertifikat über uns eingekauft haben, wie auch alle Kunden, die SSL-Zertifikate bei uns hochgeladen haben (um sie auf dem Webserver zu nutzen), per Mailing informiert. Zum einen ist es wichtig zu wissen, dass auch wir Webserver im Einsatz hatten, die für diesen Fehler anfällig waren, und die Bedrohung nun erst einmal vorüber ist.
Für alle die hierfür auch noch Geld in die Hand genommen haben, war es vielleicht auch besonders wichtig, dass wir jedes bei uns gekaufte Zertifikat kostenlos umtauschen.

Damit ist die Aufarbeitung des Heartbleed-Problems bei uns eigentlich abgeschlossen. Abgesehen von den etlichen Zertifikaten, die es nun gilt auszutauschen. Das wird aber weit weniger Stressig als alles was wir bisher in dieser Sache zu tun hatten :-)

Geschrieben von Bernd Holzmüller in Technik um 17:28 | Kommentare (2) | Trackbacks (0)

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Angesichts dessen, dass nicht nur der private Teil des Zertifikats kompromittiert sein kann (man liest sogar, das sei eher unwahrscheinlich), sondern beliebige Speicherinhalte, namentlich solche, die im Bereich des Webservers (Mailservers, usw.) liegen, kann der Austausch der Zertifikate alleine wohl kaum reichen. Konsequenterweise müsste man alle Schlüssel jeder Art und alle Passwörter aller Dienste tauschen - und davon ausgehen, dass diese schon seit Monaten bekannt waren.
#1 -thh am 10.04.2014 23:44 (Antwort)
Alles was irgendwie mal in Klartext durch eine betroffene OpenSSL-Version gewandert ist, richtig. Es geht dabei wohlgemerkt ausschließlich um den Speicher den OpenSSL für sich reserviert.

Der jüngste Artikel auf heise.de zu diesem Thema erläutert das einigermaßen gut:
http://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html

Wir hatten das Glück, dass derart kritische Systeme (Kundeninterface, Mailserver und XMPP) bei uns nicht OpenSSL 1.0.1 (oder neuer) genutzt haben - auch wenn das schon länger geplant ist. Passwörter bei uns, wie auch unsere eigenen Zertifikate sind folglich nicht der Gefahr kompromittiert zu werden ausgesetzt worden. Eigentlich eher ein schwacher Trost.
#1.1 Bernd Holzmüller (Homepage) am 10.04.2014 23:55 (Antwort)

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
 
 

Suche

Read this blog!

Linux und Christoph
Pssssst!
magerquark.de
Mein Papa bloggt(e?) (inaktiv)
Löser, Schlichter, Papa
Bestatterweblog

Archive

Kategorien



Alle Kategorien

Blog abonnieren

Buttons

tiggersWelt.net

Written with s9y

Kommentare

Bernd Holzmüller zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:09
Das heißt dann ja eindeutig, d ass sie Dein Passwort in Klart ext speichern. Ist schon zu lange her, dass ich mich mit PPP(oE), CHAP und PAP auseinan derg [...]
Malte zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:05
Ich hatte (Wochen) bevor ich m einen DSL-Anschlussbrief von 1 &1 bekommen habe im Kundeninte rface das DSL-Passwort geänder t. Im Anschlussbrief war st and [...]
Bernd Holzmüller zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:29
Diese Information ist für Inte ressierte bereits in der Übers chrift enthalten. Ich glaub e nicht, dass es mir obliegt d en Marktbegleiter durch expliz ite [...]
Alphager zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:11
Hier hilft nur name and shame.
Tux2000 zu Bestes Firmware-Update der Geschichte
Mi, 12.04.2017 00:09
Klarer Fall von "Bootloader ve rgessen". Oder, fast noch schl immer: Bootloader so verkorkst , dass das Update nicht funkti oniert. Aber das Ding ist o hneh [...]

Notice this!

Impressum
Blog Top Liste - by TopBlogs.de