Rheinauenschreiber

Sebastian Eckert sein Hausblog über Bonn, Welt, Netz, Games und IT

folder Filed in Bonn, IT, Netz
Uni Bonn und der Heartbleed-Bug
Sebastian Eckert comment 4 Comments

Der Heartbleed-Bug schlägt ja hohe Wellen. In Bonn leider nicht, wie es scheint. Zeit, auch mal beim Hochschulrechenzentrum nachzufragen, ob man beim Mailen auf OpenSSL setzt, jetzt seine Passwörter ändern sollte oder nicht.

Die Antwort war etwas unbefriedigend:

“Alle definitiv betroffenen Nutzer wurden bereits von uns benachrichtigt. Sollten Sie nicht sicher sein, ob Sie betroffen sind, ist es immer eine gute Idee das Passwort zu ändern.”

Käsekuchen. Entweder sind alle Nutzer vom Bug potentiell betroffen, wenn man auf OpenSSL setzt. Oder keiner. Einen spezifischen Nutzer finden, bei dem die Sicherheitslücke ausgenutzt wurde? Wie soll das gehen? Schließlich hinterlässt der Heartbleed-Exploit keine Spuren auf dem Server. Und woher weiß ich, ob ich betroffen bin, wenn mir die Uni nicht sagt, ob sie OpenSSL einsetzt?

Zumindest beim Mailsystem von Communigate gibt es Infos, direkt vom Hersteller:

CommuniGate Pro does not use OpenSSL (not the library itself, nor any parts of the source code) and does not support the Heartbeat extension (RFC6520). It was the improper implementation of this extension in OpenSSL that lead to the  vulnerability described in CVE-2014-0160.

In short, the SSL/TLS implementation in CommuniGate Pro is not affected by this OpenSSL bug.

However, if you are using certificates (wildcard certificates, certificates with alternative names) on your CommuniGate Pro server that are shared with other software (e.g. apache web servers) that might be using buggy OpenSSL versions, the private key could potentially have been leaked by that other software. In that case, it’s better to consider re-generating the private key and obtaining a new certificate.

Auch andere Dienste wie etwa eCampus und Basis, die Uni-Seite (securewww.uni-bonn.de) scheinen von diesem Exploit nicht betroffen, zeigt zumindest irgendein Schnelltest im Internet.

Da wir aber gerade bei Zertifikaten sind, die derzeit ebenfalls alle ausgetauscht werden sollten (wie es nicht nur oben fett steht):
Seit Herbst2013 ist das Sicherheitszertifikat des HRZ-Mailservers für SSL/TLS abgelaufen, die letzte Erneuerung fand anscheinend 2008 statt. Vielleicht wäre das jetzt ja ein passender Zeitpunkt, sich mal zu kümmern…Zertifikate
Nachtrag
Wie @hszemi richtig anmerkt, ist davon der Weblogin nicht betroffen. Firefox bekommt ein gültiges Zertifikat.
Ich beziehe mich auf TLS/SSL über ein Mailprogramm (Thunderbird)
Über die Sicherheit und Probleme von Zertifikaten spreche ich im Übrigen vorsorglich nicht.

abgelaufen Bug erneuern Heartbleed HRZ OpenSSL Passwörter Sicherheitszertifikat SSL SSL/TLS Starttls Uni Bonn Zertifikate

Previous Next

Leave a Reply

Your email address will not be published. Required fields are marked *

    1. Das stimmt, per Weblogin wird das aktuelle Zertifikat abgelegt.
      Aber: Ich habe vor 10 Minuten von StartTLS auf SSL umgestellt, mit mit TB ein aktuelles Zertifikat (im Screenshot) gezogen. Was sagt dein Thunderbird?

      Reply

    1. Wenigstens bin ich nicht der einzige ^^ Wundert mich auch. Vielleicht haben sie bei der Telekom das eine nicht mit eingekauft…

      Reply
Next article
Putin, Hitler: Vergleichen ist nicht gleichsetzen