Heartbleed-Bug: RRZE gibt Entwarnung – zentrale Dienste sind kaum betroffen

Der „Heartbleed-Bug“, über den das RRZE bereits am 10.04.2014 berichtet hat, ist eine Sicherheitslücke in den Versionen 1.0.1 bis 1.0.1f  einer Programmerweiterung der freien Software-Bibliothek OpenSSL. Insbesondere Web- und Mail-Server aber auch andere Dienste wie Virtual Private Networks (VPN) nutzen häufig diese Bibliothek für sogenannte Transport Layer Security (TLS)-Verbindungen, also Verschlüsselungsprotokolle zur sicheren Datenübertragung im Internet.

Nach gründlichen Analysen kann das RRZE für seine zentral betreuten Server und Systeme jetzt weitestgehend Entwarnung geben. Nach gegenwärtigem Stand sind die Dienste E-Mail, WLAN, VPN nicht betroffen. Auch der Verzeichnisdienst FAU-AD sowie die SUSE Linux Enterprise Server, die noch eine ältere Version der OpenSSL-Bibliothek einsetzen, blieben vom Heartbleed-Bug unberührt.

Lediglich das IdM-Portal (Identity Management) der FAU war im Zeitraum vom 04.02.2014 bis 10.04.2014 theoretisch angreifbar. Die Anmeldung ans IdM-Portal erfolgt jedoch per SSO (d.h. ohne direkte Verwendung des Passwortes) – was ein Auslesen der Passwörter beim Login trotz Heartbleed-Bug unmöglich macht. Lediglich bei Passwortänderungen wird das Passwort im Klartext verarbeitet und hätte theoretisch abgehört werden können. Entsprechend empfiehlt das RRZE den Personen, die in dieser Zeit Änderungen im IdM-Portal durchgeführt haben, ihre Passwörter neu zu setzen.

Das RRZE weist noch einmal darauf hin, dass über die zahlreichen dezentral betreuten E-Mail-, Web- und sonstigen Server an der FAU keinerlei Aussagen getroffen werden können. Alle Administratoren eigener Server werden jedoch angehalten,  umgehend für eine Aktualisierung ihrer Systeme zu sorgen und neue SSL-Zertifikate zu beantragen. Seit dem 7. April 2014 steht mit OpenSSL Version 1.0.1g ein Update zur Verfügung, das die Sicherheitslücke schließt.

Weitere Informationen
Heartbleed-Bug: Sicherheitsloch in der OpenSSL-Implementierung
Neu hinzukommende Nachrichten zum Thema „Heartbleed-Bug“ werden in dieser Meldung verlinkt.

Kontakt
Bei Fragen und Problemen können Sie sich gerne an die Service-Theke am RRZE wenden.
E-Mail: rrze-zentrale@fau.de