Heartbleed-Fehler

Entsprechender Fehler

"Der Server ist durch Heartbleed-Angriffe gefährdet. Aktualisieren Sie auf die neueste Version von OpenSSL, ersetzen Sie das Zertifikat auf Ihrem Webserver oder Gerät, und setzen Sie die Kennwörter der Endbenutzer zurück, die in einem kompromittierten Serverspeicher sichtbar gewesen sein könnten."

Problem

Der Heartbleed-Fehler befindet sich in der Heartbeat-Erweiterung der kryptografischen Bibliothek von OpenSSL. Die kryptografischen Bibliotheken der OpenSSL-Versionen 1.0.1 bis 1.0.1f und 1.0.2-beta1 sind anfällig für Heartbleed_Angriffe. Die Heartbleed-Sicherheitslücke ist eine Schwachstelle in der kryptografischen Bibliothek von OpenSSL, die es einem Angreifer ermöglicht, sich Zugang zu sensiblen Daten zu verschaffen, die normalerweise durch die SSL- und TLS-Protokolle geschützt sind.

OpenSSL ist ein Open-Source-Toolkit, das die SSL- und TLS-Protokolle implementiert, einschließlich einer kryptografischen Bibliothek, die kryptografische Funktionen und verschiedene Dienstprogrammfunktionen liefert. Diese kryptografische Bibliothek wird häufig von Servern im Internet implementiert, um einen Großteil des Datenverkehrs über das Internet zu schützen.

Durch einen Heartbleed-Angriff erhält der Angreifer Zugriff auf:

  • Verschlüsselungsschlüssel
    Angreifer können mit diesen Schlüsseln vergangene und zukünftige sichere Kommunikation auf Ihrer Website entschlüsseln und Ihre Website jederzeit übernehmen.
  • Benutzeranmeldedaten
    Angreifer können die Benutzernamen und Kennwörter ihrer Kunden verwenden, um auf deren durch Ihre Website geschützten Informationen zuzugreifen.
  • Geschützte Inhalte
    Angreifer können auf Personal- und Finanzdaten, private Kommunikation (E-Mails oder Instant Messages) und Dokumente zugreifen.
  • Sicherheiten
    Angreifer können auf Speicherinhalte, z. B. die Speicheradresse und Sicherheitsmaßnahmen zugreifen.

Lösung

Software-Patch

Um Ihre Umgebung gegen den Heartbleed-Fehler zu schützen, müssen Sie OpenSSL auf Servern mit gefährdeten Versionen von OpenSSL ebenso wie Software reparieren, die betroffene Versionen der OpenSSL-Bibliothek verwendet.

Aktualisieren Sie auf die neueste Version von OpenSSL (1.0.1g oder später).

  • Server
    Suchen Sie in Ihrem Paket-Manager ein aktualisiertes OpenSSL-Paket und installieren Sie es. Falls Sie kein aktualisiertes OpenSSL-Paket haben, holen Sie sich die neueste Version von OpenSSL von Ihrem Dienstanbieter.
  • Software
    Suchen Sie nach Software-Patches zum Beheben der Sicherheitsanfälligkeit für den Heartbleed-Fehler und installieren Sie sie. Falls Sie keine Software-Patches haben, wenden Sie sich an Ihren Softwareanbieter, um das neueste Patch zu erhalten, und installieren Sie es.
    Hinweis: Sie sollten Ihre Software nach dem Patch erneut starten, um sicherzustellen, dass die OpenSSL-Bibliothek zurückgesetzt und der Heartbleed-Bug aus dem Zwischenspeicher entfernt wurde.

Sie sollten Ihre Software nach dem Patch erneut starten, um sicherzustellen, dass die OpenSSL-Bibliothek zurückgesetzt und der Heartbleed-Bug aus dem Zwischenspeicher entfernt wurde.

Falls Sie kein Upgrade auf die neueste Version von OpenSSL haben:

  • Gehen Sie zurück auf die OpenSSL-Version 1.0.0 oder früher.
  • Kompilieren Sie OpenSSL mit dem OPENSSL_NO_HEARTBEATS-Flag.

Überprüfen, ob die Gefährdung durch den Heartbleed-Bug beseitigt wurde

Scannen Sie Ihre Umgebung mit DigiCert Discovery erneut, um sicherzustellen, dass Sie nicht mehr anfällig für Angriffe durch den Heartbleed-Bug sind.

Neue Schlüssel für die Zertifikate erstellen, Zertifikate erneut ausstellen und installieren

  • Sie können nun die Schlüssel austauschen und alle Zertifikate auf Ihren betroffenen Servern erneut ausstellen.
    Achten Sie bei der Neuausstellung der Zertifikate darauf, auch neue CSRs (Certificate Signing Requests) zu generieren. Siehe Erstellen eines CSR
  • Installieren Sie die neu ausgestellten Zertifikate erst, nachdem die Server und die Software repariert wurden.

Ersetzte Zertifikate widerrufen

Nach der Installation der neu ausgestellten Zertifikate müssen Sie die Zertifikate widerrufen, die ersetzt wurden. Wenden Sie sich dafür an Ihre Zertifizierungsstelle.

DigiCert-Kunden wenden sich per E-Mail an den Support unter support@digicert.com. Geben Sie die Auftragsnummer Ihres Zertifikats an und eine kurze Beschreibung, was Sie widerrufen möchten.

Kennwörter zurücksetzen

Falls Ihr Server Kennwörter akzeptiert, lassen Sie auch die Kennwörter Ihrer Clients zurücksetzen, aber erst, nachdem die Server und die Software repariert wurden und die Zertifikate neue Schlüssel haben, neu ausgestellt, installiert und widerrufen wurden.

Wenn die Clients ihre Kennwörter vorher zurücksetzen, dann waren diese Kennwörter noch gefährdet und müssen erneut zurückgesetzt werden.