Skip to main content

Heartbleed-Fehler

Entsprechender Fehler

„Dieser Server ist durch Heartbleed-Angriffe gefährdet. Aktualisieren Sie auf die neueste Version von OpenSSL, ersetzen Sie das Zertifikat auf Ihrem Webserver oder Gerät, und setzen Sie die Kennwörter der Endbenutzer zurück, die in einem kompromittierten Serverspeicher sichtbar gewesen sein könnten.“

Problem

Der Heartbleed-Fehler befindet sich in der Heartbeat-Erweiterung der kryptografischen Bibliothek von OpenSSL. Die kryptografischen Bibliotheken der OpenSSL-Versionen 1.0.1 bis 1.0.1f und 1.0.2-beta1 sind anfällig für Heartbleed_Angriffe. Die Heartbleed-Sicherheitslücke ist eine Schwachstelle in der kryptografischen Bibliothek von OpenSSL, die es einem Angreifer ermöglicht, sich Zugang zu sensiblen Daten zu verschaffen, die normalerweise durch die SSL- und TLS-Protokolle geschützt sind.

Hinweis

OpenSSL ist ein Open-Source-Toolkit, das die Protokolle Secure-Sockets-Layer (SSL) und Transport-Security-Layer-Security (TLS) implementiert. Es enthält eine kryptografische Bibliothek, die kryptografische Funktionen verwendet und verschiedene Hilfsfunktionen bereitstellt. Diese kryptografische Bibliothek wird häufig von Servern im Internet implementiert, um einen Großteil des Datenverkehrs über das Internet zu schützen.

Durch einen Heartbleed-Angriff erhält der Angreifer Zugriff auf:

  • Verschlüsselungsschlüssel

    Angreifer können mit diesen Schlüsseln vergangene und zukünftige sichere Kommunikation auf Ihrer Website entschlüsseln und Ihre Website jederzeit übernehmen.

  • Benutzeranmeldedaten

    Angreifer können die Benutzernamen und Kennwörter ihrer Kunden verwenden, um auf deren durch Ihre Website geschützten Informationen zuzugreifen.

  • Geschützte Inhalte

    Angreifer können auf Personal- und Finanzdaten, private Kommunikation (E-Mails oder Kurznachrichten) und Dokumente zugreifen.

  • Kollateral

    Der Angreifer kann auf Speicherinhalte, z. B. die Speicheradresse und Sicherheitsmaßnahmen zugreifen.

Lösung

Software-Patch

Um Ihre Umgebung gegen den Heartbleed-Fehler zu schützen, müssen Sie OpenSSL auf Servern mit gefährdeten Versionen von OpenSSL ebenso wie Software reparieren, die betroffene Versionen der OpenSSL-Bibliothek verwendet.

Aktualisieren Sie auf die neueste Version von OpenSSL (1.0.1g oder später).

  • Server

    Suchen Sie in Ihrem Paket-Manager ein aktualisiertes OpenSSL-Paket und installieren Sie es. Falls Sie kein aktualisiertes OpenSSL-Paket haben, holen Sie sich die neueste Version von OpenSSL von Ihrem Dienstanbieter.

  • Software

    Suchen Sie nach Software-Patches zum Beheben der Sicherheitsanfälligkeit für den Heartbleed-Fehler und installieren Sie sie. Falls Sie keine Software-Patches haben, wenden Sie sich an Ihren Softwareanbieter, um das neueste Patch zu erhalten, und installieren Sie es.

Anmerkung

Sie sollten Ihre Software nach dem Patch erneut starten, um sicherzustellen, dass die OpenSSL-Bibliothek zurückgesetzt und der Heartbleed-Bug aus dem Zwischenspeicher entfernt wurde.

Falls Sie kein Upgrade auf die neueste Version von OpenSSL haben:

  • Gehen Sie zurück auf die OpenSSL-Version 1.0.0 oder früher.

  • Kompilieren Sie OpenSSL mit dem OPENSSL_NO_HEARTBEATS-Flag.

Überprüfen, ob Schwachstellen beseitigt wurden

Scannen Sie Ihre Umgebung mit DigiCert Discovery erneut, um sicherzustellen, dass Sie nicht mehr anfällig für Angriffe durch den Heartbleed-Bug sind.

Neue Schlüssel für die Zertifikate erstellen, Zertifikate erneut ausstellen und installieren

  • Sie können nun die Schlüssel austauschen und alle Zertifikate auf Ihren betroffenen Servern erneut ausstellen. Achten Sie bei der Neuausstellung der Zertifikate darauf, auch neue CSRs (Certificate Signing Requests) zu generieren. Siehe Erstellen eines CSR

  • Nachdem die Server und die Software gepatcht sind (und nur dann), installieren Sie die neu ausgestellten Zertifikate.

Ersetzte Zertifikate widerrufen

Nach der Installation der neu ausgestellten Zertifikate müssen Sie die Zertifikate widerrufen, die ersetzt wurden. Wenden Sie sich dafür an Ihre Zertifizierungsstelle.

DigiCert-Kunden wenden sich per E-Mail an den Support. Geben Sie die Auftragsnummer Ihres Zertifikats an und eine kurze Beschreibung, was Sie widerrufen möchten.

Kennwörter zurücksetzen

Falls Ihr Server Kennwörter akzeptiert, lassen Sie auch die Kennwörter Ihrer Clients zurücksetzen, aber erst, nachdem die Server und die Software repariert wurden und die Zertifikate neue Schlüssel haben, neu ausgestellt, installiert und widerrufen wurden.

Hinweis

Wenn Kunden ihre Kennwörter zurücksetzen, bevor Server oder Software gepatcht werden und Zertifikate neue Schlüssel erhalten, neu ausgestellt, installiert und widerrufen werden, wären ihre Kennwörter immer noch ungeschützt. Sie müssen ihre Kennwörter erneut zurücksetzen.