Am 7. April 2014 wurde eine schwerwiegende Sicherheitslücke in OpenSSL öffentlich bekannt: Heartbleed (CVE-2014-0160). Die Lücke ermöglicht es Angreifern, den Arbeitsspeicher von Servern auszulesen, die verwundbare OpenSSL-Versionen einsetzen.
Was ist Heartbleed?
Heartbleed ist ein Fehler in der Heartbeat-Erweiterung von OpenSSL. Durch eine fehlende Längenprüfung kann ein Angreifer bis zu 64 KB Arbeitsspeicher des Servers auslesen. Dies kann private Schlüssel, Passwörter, Session-Cookies und andere sensible Daten umfassen.
Betroffene Versionen
Betroffen sind OpenSSL-Versionen 1.0.1 bis 1.0.1f. Nicht betroffen sind OpenSSL 0.9.8 und 1.0.0.
Maßnahmen von INGATE
Unser Technik-Team hat sofort nach Bekanntwerden der Lücke reagiert:
- Alle Managed Server wurden innerhalb weniger Stunden gepatcht
- SSL-Zertifikate auf betroffenen Systemen wurden neu ausgestellt
- Kunden mit eigener Serververwaltung wurden per E-Mail informiert
Empfehlungen für Rootserver-Kunden
- Aktualisieren Sie OpenSSL auf die gepatchte Version
- Starten Sie alle Dienste neu, die OpenSSL verwenden
- Lassen Sie Ihre SSL-Zertifikate neu ausstellen
- Ändern Sie vorsichtshalber alle Passwörter
Bei Fragen oder Unterstützungsbedarf wenden Sie sich an info@ingate.de.
