Heartbleed

Heartbleed

Heartbleed

Es wird ja quasi überall über Heartbleed geschrieben. Jetzt auch hier!

Was ist das überhaupt?

Gute Frage! (Oder allseits bekannt, je nachdem.) Es ist eine Sicherheitslücke. Aber nicht einfach nur irgendeine.

Mit dieser Lücke kann nicht nur die Verschlüsselung einer Verbindung geknackt werden (dies wäre also einfach “nur” ein Verlust des kompletten Funktionsumfangs), sondern sie erlaubt es den Arbeitsspeicher des Servers auszulesen !!elfzwölfdreizehn!! (Das musste jetzt einfach sein.)

Wie funktioniert das denn überhaupt?

Total kompliziert. (Und ich würde mich da jetzt nicht unbedingt als Experte bezeichnen.) Der folgende xkcd erklärt das ganz gut:

[xkcd #1354](https://xkcd.com/1354/) [(unter der CC BY-NC 2.5)](https://creativecommons.org/licenses/by-nc/2.5/)

xkcd #1354 (unter der CC BY-NC 2.5)

Es wird einfach nicht die Länge geprüft.

Wer ist betroffen?

Ganz einfach: jeder. Wirklich. Und da verlinke ich wieder auf einen xkcd:

[xkcd #1353](https://xkcd.com/1353/) [(unter der CC BY-NC 2.5)](https://creativecommons.org/licenses/by-nc/2.5/)

xkcd #1353 (unter der CC BY-NC 2.5)

Also gut, außer Papier, Tontafeln und unserer Fantasie sind auch noch ein paar andere Dinge nicht betroffen. Für gefixte Versionen von OpenSSL siehe: Diaspora*-Post 1d83ee88b6d79238.

Was muss jetzt getan werden?

Also, wenn man jetzt erst anfängt, etwas zu tun…

Für Leute mit Servern:

Es muss überprüft werden, ob die OpenSSL-Version kleiner als 1.0.1 ist. Wenn sie es ist, ist alles in Ordnung. (Also natürlich nicht wirklich alles, aber Heartbleed-bezüglich schon.)

Wenn sie es nicht ist:

  1. updaten!!! (siehe oben verlinkten Diaspora*-Post)
  2. System neustarten (also mindestens alle Dienste)
  3. neue private Schlüssel generieren (wenn man schon mal dabei ist, ruhig auch längere)
  4. neue Zertifikate beantragen (mit dem neuen privaten Schlüssel) (siehe auch: CAcert-Blog)
  5. alte Zertifikate widerrufen
  6. alte private Schlüssel löschen

Für Leute mit Clients:

(Es kann beides auf eine Person zutreffen.)

Es muss überprüft werden, ob die OpenSSL-Version kleiner als 1.0.1 ist.

Wenn sie es nicht ist: updaten!!

Ansonsten trotzdem - auf jeden Fall: alle Passwörter ändern. (also alle überall im Internet - der private PC ist hiervon nicht betroffen)

Und was ist mit diesem Server?

Danke für den Wink mit den Zaunpfahl.

Der folgende Abschnitt ist veraltet.

Ähm, tja, also naja: Er war betroffen.

Die Lücke konnte bis Mittwoch (Ja, ich meine, mich noch daran erinnern zu können. Oder doch nicht?) ausgenutzt werden. Die Schlüssel wurden am Samstag geändert. (Die neuen Schlüssel sind 8192 Bits lang.)

Wer sie wissen möchte: der Fingerabdruck des SSH-Servers ist: 4c:48:87:61:08:be:69:f3:04:5b:a3:59:84:6f:14:fd (Den Fingerabdruck des HTTPS-Servers gibt es hier nicht. Den über HTTPS zu verschicken wäre ja schon ein bisschen witzlos, oder?)

Bild oben: von Leena Snidate / Codenomicon (unter der CC0), via Wikimedia Commons


Kommentare

Die eingegebenen Daten und der Anfang der IP-Adresse werden gespeichert. Die E-Mail-Adresse wird für Gravatar und Benachrichtungen genutzt, Letzteres nur falls gewünscht. - Fragen oder Bitte um Löschung? E-Mail an (mein Vorname)@ytvwld.de.