Vor wenigen Tagen wurde eine gravierende Sicherheitslücke bekannt. Der sogenannte Heartbleed-Bug (CVE-2014-0160). Dabei handelt es sich um eine Sicherheitslücke in dem weit verbreiteten Programm OpenSSL. OpenSSL wird verwendet um verschlüsselte Verbindungen zwischen Computern aufzubauen. Heise.de spricht vom "Horror-Bug in OpenSSL".
Allein 630 der weltweiten Top 10.000 Webseiten sind betroffen. Darunter yahoo.com, web.de1, Wikipedia2 und die HypoVereinsbank3. Man geht davon aus, dass eine halbe Millionen vertrauenswürdige Websites weltweit von diesem Fehler betroffen sind.4
Librario verwendet SSL um eine verschlüsselte Kommunikation zwischen Ihnen (den Clients), unseren Servern sowie unseren Partnern zu ermöglichen. Deshalb sind auch wir von dem Fehler betroffen. Wie haben wir also reagiert?
Situation bei unseren Partnern
Da wir viele Dienstleistungen von externen Partnern beziehen, sind wir hier indirekt betroffen. Wir sind an maximaler Transparenz interessiert und haben deswegen in unserer Datenschutzerklärung genau angegeben, mit wem wir zusammen arbeiten. Hier beobachten wir durchgehend die Lage und führen notwendige Schritte durch.
| Partner | Betroffen von Heartbleed-Bug? | Behoben durch Partner? | Auswirkung auf Librario? |
|---|---|---|---|
| Amazon Web Services, Inc. | Ja5 | Ja | Nein6 |
| Cloudtop Inc. | Nein7 | Nicht notwendig | Nein |
| Heroku, Inc. | Ja8 9 | Ja | Ja10 |
| Exceptional Cloud Services, LLC | Ja11 | Ja | Nein |
| Found AS | Ja12 | Ja | Ja13 |
| New Relic, Inc. | Ja, unkritische Systeme14 | Nicht notwendig | Nein |
| JLizard Limited | Nein15 | Nicht notwendig | Nein |
Konkrete Schritte auf Seiten der BauCloud GmbH
Die Situationsanalyse ergibt für uns folgende vier Schritte um den Auswirkungen des Heartbleed-Bugs entgegenzuwirken:
- SSL-Zertifikat austauschen8 16
- Alle Datenbank-Passwörter ändern8 12
- Alle Server-Passwörter ändern5 8
- Wir invalidieren alle Cookies. Jeder Benutzer wird dadurch automatisch ausgeloggt.
Um die notwendigen Änderungen umzusetzen war Librario heute für 15 Minuten unplanmäßig im Wartungsmodus. Die genauen "Downtimes" können Sie unserer Status-Seite entnehmen. Hier sehen Sie auch, dass Librario im April zu 99,89% verfügbar war.
Welche Auswirkungen hat der Heartbleed-Bug für Sie?
Genau wie wir, sind auch Sie angehalten, Ihre Passwörter auf allen betroffenen Systemen zu ändern.17
Um dies bei Librario zu machen, besuchen Sie https://ihre-firma.mylibrar.io/users, und klicken Sie bei Ihrem Benutzernamen auf bearbeiten.
Außerdem empfehlen wir Ihnen, alle Server in Ihrem Unternehmen auf diesen Bug zu untersuchen. Die Wahrscheinlichkeit ist sehr hoch, dass auch diese von dem Problem betroffen sind.
[Wikitech-l] Fwd: Security precaution - Resetting all user sessions today ↩
Half a million widely trusted websites vulnerable to Heartbleed bug ↩
Obwohl wir keinen der genannten Services verwenden werden wir alle Passwörter ändern. ↩
Incident Report: OpenSSL Heartbleed Security Issue ↩ ↩2 ↩3 ↩4
Erfordert den Austausch des SSL-Zertifikats sowie das Ändern aller Passwörter. ↩
OpenSSL Heartbleed Bug – RedisToGo Password Reset Instructions ↩
Erfordert das Ändern aller Passwörter. ↩
Nur die Dokumentationsseiten waren betroffen. Keine der operativen Systeme. Security for Heartbleed vulnerability ↩