Lesen Sie weiter über folgende EGroupware Themen:
- Bug in OpenSSL
- Stylite Rechenzentrum: Up to Date, Sicherheit hergestellt
- Handlungsempfehlungen und weitere Informationen
Am 08.04.2014 beschreibt Heise auf seiner Webseite www.heise.de eine erhebliche Sicherheitslücke in der im Open Source Bereich verbreiteten OpenSSL Bibliothek. Begriffe wir Katastrophe und GAU weisen darauf hin, dass Handlungsbedarf besteht. Sowohl die EGroupware Softwareentwicklung als auch die Stylite Systemabteilung haben direkt reagiert und geben Handlungsempfehlungen.
Ihr Stefan Becker, Stylite AG
E-Mail: sb(at)stylite.de
- Bug in OpenSSL
Quelle: www.heise.de, 08.04.2014
"… Die Entwickler von OpenSSL veröffentlichen ein Update ihrer weit verbreiteten Verschlüsselungsbibliothek, das äußerst schlechte Nachrichten transportiert: Ein Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Konkret bedeutet das: Ein Angreifer kann Schlüssel, Passwörter und andere geheime Daten klauen.
Die Entdecker der Lücke sprechen vom Heartbleed Bug, weil der Fehler in der Heartbeat-Funktion gefunden wurde. Über einen Heartbeat tauschen Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen, heißt es im Security Advisory von OpenSSL. Laut der Beschreibung der Entdecker gelang es in Tests auf diesem Weg die geheimen Schlüssel eines Server-Zertifikats, Usernamen, Passwörter und auch verschlüsselte übertragenen Daten wie E-Mails zu stehlen. Und das alles ohne irgendwelche Spuren auf dem Server zu hinterlassen.
In erster Linie betroffen sind jetzt alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen. Das sind nicht nur Web-Server, sondern häufig auch solche für E-Mail, VPN und andere Dienste. Es ist äußerst wichtig, diese Systeme jetzt schnellstmöglichst zu sichern. Die Version OpenSSL 1.0.1g enthält den Fehler nicht mehr. Debian stellt bereits ein Update bereit; andere Distributionen werden bald folgen. …"
Lesen Sie den kompletten Artikel auf: http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
- Stylite Rechenzentrum: Up to Date, Sicherheit hergestellt
Nach Bekanntwerden des Sicherheitslücke wurden die Systeme im Stylite Rechenzentrum unmittelbar bereits in den frühen Morgenstunden upgedatet. Kundeninstanzen im Managed Hosting sind daher nicht weiter von diesem OpenSSL Fehler betroffen.
Gleiches gilt für Kundeninstallationen vor Ort auf eigenen Serversystemen, für die Stylite einen Auftrag zum Remote Operation Management hat. Diese Systeme wurden im Laufe der letzten Stunden mit einem entsprechenden Update versehen.
- Handlungsempfehlungen und weitere Informationen
Für Linux basierte EGroupware Installationen ist dringend ein Update, entsprechend der von Heise unter dem o.g. Link genannten veröffentlichten Security Advisories, erforderlich, um die Sicherheitslücke zu schließen.
Zum Zeitpunkt der Erstellung dieser Informationen, liegen Updates für Debian, Redhat, Ubuntu, Fedora und Centos vor. SLES 11 und MAC scheinen nicht betroffen zu sein.
Folgen Sie uns auf Facebook:[ http://www.facebook.com/EGroupware -> www.facebook.com/egroupware ]
Folgen Sie uns auf Twitter: [ https://twitter.com/egroupware -> www.twitter.com/egroupware ]
Impressum
Stylite AG
Morschheimer Strasse 15 | Tel. +49(0)6352 70629 0
D-67292 Kirchheimbolanden | Fax. +49(0)6352 70629 30
mailto:info@stylite.de | [ http://www.egroupware.org -> www.egroupware.org ]
Managing Directors:Andre Keller | Ralf Becker | Gudrun Mueller
Chairman of the supervisory board:Prof. Dr. Birger Leon Kropshofer
VAT DE214280951 | Registered HRB 31158 Kaiserslautern
Newsletter abbestellen:bitte kurze Email mit dem Betreff ‘Abbestellen’ an mailto:info@news.stylite.de
