Update unserer Systeme: Sieben mal OpenSSL
08:32 Uhr Verfasst von Michael Kliewe
OpenSSL erfährt seit einigen Wochen gesteigertes Interesse der Sicherheitsexperten. Gestern wurde am Nachmittag bekannt gegeben, dass Fehler gefunden wurden und eine neue Version von OpenSSL (Version 1.0.1h) bereitgestellt, welche insgesamt sieben Sicherheitslücken behebt. Eine deutsche Zusammenfassung auf heise.de gibt Aufschluss über einige Details.
Keine der Sicherheitslücken ist ansatzweise so gefährlich wie die Heartbleed-Lücke im April, aber trotzdem sind einige ernstzunehmende Fehler dabei, sodass wir außer der Reihe Notfallupdates auf betroffenen Systemen heute Nacht durchgeführt haben. mail.de wird damit dem hohen Sicherheitsstandard gerecht und hat in weniger als 12 Stunden seit Bekanntgabe reagiert. Durch keine der Sicherheitslücken kann der geheime SSL-Schlüssel entwendet werden, aber es können eventuell durch Angreifer im Internet verschlüsselte Datenströme abgefangen und manipuliert werden. Dieses wäre extrem aufwändig und kompliziert sowie deutlich schwieriger, als das bekannt gewordene passive Mitlauschen der NSA. Jedoch ist es theoretisch machbar.
Trotz der relativ geringen Chance einer Ausnutzung dieser Fehler haben wir die Updates umgehend eingespielt, um höchstmögliche Sicherheit zu bieten.
Da einige der Lücken auch die Client-Seite betreffen, bitten wir auch Sie darum, ihre Programme, so sie denn OpenSSL verwenden, auf dem neuesten Stand zu halten. Die Browser Firefox, Chrome und Internet Explorer sind nicht betroffen, aber möglicherweise nutzen Sie ja einen anderen Browser. Auch E-Mail-Programme oder Handys mit betroffenen Apps (E-Mail-App, CalDAV-Sync, CardDAV-Sync), die auf verschlüsselte Dienste zugreifen, sollten immer auf dem aktuellsten Stand gehalten werden. Weiterhin würden wir uns freuen, wenn alle anderen Betreiber von E-Mail-Servern ihre Systeme aktualisieren.