Seit kurzem ist bekannt das gerade der bekannt und weit verbreitete Sicherheitsdienst OpenSSL eine schwerwiegende Sicherheitslücke aufweist. Ein Fehler in OpenSSL gibt unberechtigten Zugriff auf den Speicher des betroffenen Webservers.heartbleed-logoGefunden wurde die Sicherheitslücke von dem Unternehmen Codenomicon in Zusammenarbeit mit dem Google-Forscher Neel Mehta. Codenomicon ist ein auf Sicherheitstests speizialistertes amerikanisches Unternehmen.

Die Sicherheitslücke hat den Namen „Heartbleed“ erhalten. Unter der Domain Heartbleed.com sind zudem nähere Infos zum Bug abrufbar. Die offizielle Bezeichnung ist allerdings CVE-2014-0160.

Das schwerwiegende Problem bei Heartbleed ist, das gerade verschlüsselte – und damit scheinbar sicherere – Verbindungen im Internet betroffen sind.
Denn OpenSSL stellt die Kommunikation per SSL/ TLS für HTTPS-Verbindungen verschlüsselt sicher. Konkret sind die Versionen 1.0.1 und 1.0.2-beta von OpenSSL betroffen.

OpenSSL wird in fast allen Linux-Distributionen verwendet. Microsoft-Produkte sind hier diesmal nicht betroffen. So betrifft die aktuelle Problematik z.V. folgende Linux-Distributionen:

  • Debian 7
  • RHEL 6
  • CentOS 6
  • Ubuntu 12.04

Nicht betroffen sind auch ältere Systeme, mit der Version 0.9.8 von openSSL, wie z.B.:

  • Debian 6
  • RHEL 5
  • CentOS 5

An einem Beispiel für Ubuntu soll kurz gezeigt werden, wie das Sicherheitsproblem behoben werden kann.

1. Prüfen der aktuellen OpenSSL -Version

Loggen Sie sich auf Ihrem Server ein und führen Sie  folgenden Befehl aus:

heartbleed_ubuntu_fix

Mit „openssl version“ prüfen Sie dabei zunächst die aktuelle Versionsnummer. Hier ist zu sehen, dass es sich um eine möglicherweise betroffene Version von OpenSSL handeln könnte. Um dies nun zu konkretisieren ist als nächstes mit „dpkg -l | grep openssl“ feststellbar, welche konkrete Versionsnummer innerhalb der Version 1.0.1 installiert ist. In diesem Fall ist es „1.0.1-4ubuntu5.12“.

Nun wird ein Update der installierten Pakete durchgeführt und auf die jeweilige sichere Version von OpenSSL upgedatet. Näheres ist auch direkt bei Ubuntu beschrieben.

apt-get update
apt-get -y install openssl libssl1.0.0