Wichtige OpenSSL-Sicherheitsaktualisierung: CVE-2014-0160 (Heartbleed)
In OpenSSL wurde eine Sicherheitslücke in der Art und Weise entdeckt, wie Pakete der Heartbeat-Erweiterung für Transport Layer Security (TLS) und Datagram Transport Layer Security (DTLS) gehandhabt werden. Diese Sicherheitslücke ist unter dem Namen Heartbleed-Bug bekannt geworden.
Ein bösartiger TLS- oder DTLS-Client oder -Server kann ein speziell angefertigtes TLS- oder DTLS-Heartbeat-Paket senden, um bei jeder Anfrage einen kleinen Teil des Arbeitsspeichers vom verbundenen Client oder Server auszulesen. Diese ausgelesenen Daten des Arbeitsspeichers können möglicherweise sensible Informationen wie beispielsweise private Schlüssel enthalten. (CVE-2014-0160)
Dieses Problem betrifft nicht die openssl-Versionen, die in Red Hat Enterprise Linux 5 und Red Hat Enterprise Linux 6.4 und früheren Releases enthalten sind. Dieses Problem betrifft jedoch Red Hat Enterprise Linux 7 beta, Red Hat Enterprise Linux 6.5, Red Hat Enterprise Virtualization Hypervisor 6.5 und Red Hat Storage 2.1, die openssl 1.0.1e enthalten.
- Informationen zur Behebung dieses Problems auf Red Hat Enterprise Linux finden Sie unter https://access.redhat.com/site/solutions/781793.
- Informationen zur Behebung dieses Problems auf Red Hat Enterprise Virtualization Hypervisor finden Sie unter https://access.redhat.com/site/solutions/781843.
- Informationen zur Behebung dieses Problems auf Red Hat Storage finden Sie unter https://access.redhat.com/site/solutions/782053.
Nachdem Sie Ihre Systeme aktualisiert haben, können Sie den Red Hat Heartbleed Detector verwenden, um zu überprüfen, ob Ihre Systeme nun gesichert sind. Red Hat empfiehlt seinen Kunden dringend, neue SSL-Schlüssel auf Systemen zu erstellen, die dieser Sicherheitslücke ausgesetzt waren, da weitere Tests von Sicherheitsexperten der Community bewiesen haben, dass Schlüssel von gefährdeten Systemen gestohlen werden können. Weitere Informationen finden Sie unter Recovering from the Heartbleed Vulnerability.
Zeitleiste der Reaktionen
Bitte werfen Sie für eine Zeitleiste der Reaktionen und Maßnahmen einen Blick auf die englische Version dieser Bekanntmachung.
Erklärung zur Angreifbarkeit der Red Hat Website
Am 7. April 2014 veröffentlichte das OpenSSL-Projekt eine Aktualisierung, um die in CVE-2014-0160 identifizierte Sicherheitslücke (genannt "Heartbleed") zu beheben.
Red Hat nimmt die Sicherheit sehr ernst. Die folgenden Red Hat Websites, die Kundendaten übertragen, waren nicht auf die fragliche OpenSSL-Bibliothek zur SSL/TLS-Kommunikation angewiesen und waren somit nicht von der "Heartbleed"-Sicherheitslücke betroffen:
- www.redhat.com
- access.redhat.com (Red Hat Kundenportal)
- rhn.redhat.com (Red Hat Network)
