Anmelden

Einloggen

Username *
Password *
an mich erinnern

LiveConfig Version 1.7.2 verfügbar / schwere Sicherheitslücke in OpenSSL 1.0.1

Heute wurde LiveConfig in der Version 1.7.2 freigegeben.

 

Da hier eine schnwere Sicherheitslücke in Verbindung mit OpenSSL 1.0.1 geschlossen wird, empfehlenb wir allen Nutzern ein sofortiges Update!
Die Server von Webshooter, ebenso die von hier gemanagten Server wurden bereits aktualisiert.

 

 

Nachfolgend die Hinweis von Keppler IT, dem Hersteller von LiveConfig

 


 

ab sofort steht LiveConfig v1.7.2 (r2825) zum Download bereit.

Neben einigen neuen Funktionen und Fehlerbeseitigungen wurde vor allem die in LiveConfig integrierte OpenSSL-Bibliothek von v1.0.1f auf v1.0.1g aktualisiert.
Hintergrund ist die am 07.04.2014 bekannt gewordene Sicherheitslücke in OpenSSL (CVE-2014-0160, derzeit unter dem Namen "Heartbleed" bekannt).

Wir empfehlen daher allen Nutzern von LiveConfig, ihre Server schnellstmöglich zu aktualisieren. Dabei reicht es *nicht*, nur die OpenSSL-Bibliothek zu aktualisieren - alle Dienste mit SSL-Unterstützung müssen neu gestartet werden (im Zweifelsfall einfach den ganzen Server neu starten).
Ob ein Dienst noch verwundbar ist, können Sie z.B. via http://filippo.io/Heartbleed/ prüfen.

Bitte informieren Sie Ihre Kunden ebenfalls über diesen Fehler in OpenSSL sowie die Notwendigkeit, ihre Server auf den aktuellen Stand zu bringen und ggf. die Zertifikate mit neuen Schlüsseln zu ersetzen.

Wenn Sie LiveConfig mit einem automatisch erstellten, selbst-signierten Zertifikat genutzt haben, löschen Sie dieses bitte
(/etc/liveconfig/sslcert.pem) und starten LiveConfig anschließend neu - es erzeugt dann automatisch ein neues Zertifikat, welches Sie in Ihrem Browser erneut akzeptieren müssen.

LiveConfig unterstützt übrigens standardmäßig die sogenannte "Perfect Forward Secrecy" (PFS). Datenverkehr, der zwischen LiveConfig und einem aktuellen Browser mittels PFS ausgetauscht wurde, kann so auch nicht nachträglich entschlüsselt werden.

---------------------------------------------
Hintergrundinformation zu dem OpenSSL-Fehler:
---------------------------------------------
Die entdeckte Schwachstelle erlaubt es, beim Aufbau einer TCP-Verbindung zu einer von dem Fehler betroffenen Software, aus deren Arbeitsspeicherbereichen bis zu 64kB Daten auszulesen. Dieser "Datenabruf" kann beliebig oft wiederholt werden, ist serverseitig praktisch nicht zu erkennen und ermöglicht es so, Teile des Anwendungsspeichers auszulesen. Dort sind insbesondere die für die Nutzung von SSL notwendigen privaten Schlüssel (Private Keys) unverschlüsselt abgelegt (diese werden ja für die Kommunikation benötigt).
Aus diesem Grund ist davon auszugehen, dass bislang mit OpenSSL 1.0.1 verwendete private Schlüssel nicht mehr sicher sind. Alle Zertifikate, für welche ein solcher Schlüssel verwendet wurde, sollten daher durch die ausgebende Zertifizierungsstelle (CA) zurückgerufen ("revoke") und neu ausgestellt ("re-issue") werden!
Die privaten Schlüssel können ansonsten dazu verwendet werden, abgegriffenen Datenverkehr zu decodieren (auch wenn OpenSSL nun zwischenzeitlich aktualisiert wurde).

Ob oder in welchem Umfang tatsächlich private SSL-Schlüssel aufgrund dieses Softwarefehlers ausgelesen werden konnten ist derzeit noch unklar.

Weitere Informationen zu dem Fehler finden Sie u.a. in einem Beitrag auf Heise Online:
http://www.heise.de/security/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html

Zu diesem Thema im LiveConfig-Forum:
http://www.liveconfig.com/de/forum/threads/1280-EILIG-LiveConfig-v1-7-2-verf%FCgbar-Sicherheitsl%FCcke-in-OpenSSL-1-0-1