10. April 2014
Sicherheitsinfo: Heartbleed
Heartbleed ist eine Sicherheitslücke in OpenSSL, die Montagnacht (MEZ), den 7.4., bekannt wurde. Mithilfe dieser weitverbreiteten Krypto-Software verschlüsseln geschätzte zwei Drittel aller Server den Datenverkehr im Internet. Über die Schwachstelle war es Angreifern theoretisch möglich, Daten bis hin zum privaten Schlüssel des Server-Zertifikats auszulesen und abzugreifen.
Auch bei mite setzten und setzen wir OpenSSL zur Verschlüsselung ein. Wir möchten euch heute detailliert informieren, welche Sicherheitsmaßnahmen wir zu welchem Zeitpunkt vorgenommen haben. Dieser Einblick kommt etwas verspätet. Bitte entschuldigt. Alle technischen Maßnahmen unsererseits erfolgten jedoch natürlich ungleich fixer, darauf konntet und könnt ihr euch stets verlassen.
- Von Heartbleed erfuhren wir Dienstagmorgen, den 8.4., gegen 9:20 Uhr.
- Sobald ein Sicherheitspatch für unsere Systeme verfügbar war, packten wir sofort alle notwendigen Updates an. Um 12:02 Uhr war der Sicherheitsfix auf allen Servern erfolgreich installiert.
- Als zusätzliche Vorsichtsmaßnahme forderten wir ein neues SSL-Zertifikat für mite mit neuen Schlüsseln an. Alle Server wurden neugestartet und verwenden seit 12:24 Uhr das neue Zertifikat. Dieser neue Zeitstempel wird euch in unserem Zertifikat von DigiCert Inc. nicht angezeigt, da es aktualisiert und nicht komplett neu erstellt wurde, bitte lasst euch davon nicht irritieren.
- Wir selbst änderten alle Passwörter auf all unseren Systemen.
- Als letzte Maßnahme werden wir heute Nacht alle Cookies invalidieren, über die ihr bei mite angemeldet bleibt. Ihr müsst euch dann neu anmelden.
Sicher ist sicher, daher aktualisiert bitte auch eure Passwörter in mite. Diese Option erreicht ihr per Klick auf euren Benutzernamen rechts oben.
Da OpenSSL von sehr vielen Diensten eingesetzt wird, denkt bitte auch an andere wichtige Dienste wie Webmail, die ihr einsetzt. Überprüft zuerst beispielsweise über diesen Test, ob der Dienst bereits gegen Heartbleed abgesichert ist. Falls ja, überprüft oder fragt nach, ob auch das SSL-Zertifikat aktualisiert wurde. Bei grünem Licht ändert dann eure Passwörter.
Vielen lieben Dank für die Aufmerksamkeit. Weiter geht’s!
Julia in Maschinenraum
Selbst kommentieren?