Heartbleed Bug und OS X

Heartbleed Bug

Heartbleed Bug und OS X

In den letzten Tagen wurde ein schwerwiegender Bug in OpenSSL entdeckt – und unter dem Name „Heartbleed Bug“ bekannt. Die Website http://heartbleed.com beschreibt den Fehler in voller Tiefe (in Englisch). Der Bug betrifft die Open-Source Implementation OpenSSL.

Durch den Bug ist es Angreifern möglich, an die geheimen Schlüssel der SSL-Verbindung zu gelangen. Sind diese erstmal in der Hand der Angreifer, können diese die SSL-Verschlüsselung brechen und den Inhalt der übertragenen Daten mitlesen. Außerdem kann sich der Angreifer in Zukunft als der Server ausgeben und der User kann nicht feststellen, dass er gar nicht mit dem richtigen Server verbunden ist. SSL wird an sehr vielen Stellen verwendet: Banking, Email, Verbindungen von Client-Programmen zu Servern, geschützte Websites, etc. Es gibt sogar VPN-Varianten, die auf SSL aufbauen.

Allerdings sind nicht alle SSL Varianten betroffen – nur die, die OpenSSL verwenden und da auch nur bestimmte Versionen. Betroffen sind die Versionen 1.0.1 bis 1.0.1f. Ältere und neuere Versionen sind nicht betroffen.

Was bedeutet das für uns Mac-User? Nun, einfach nachgeschaut:

SSL Version Terminal Mac

Auf Mavericks kommt also offensichtlich seitens Apple OpenSSL 0.9.8 zum Einsatz. D.h. OpenSSL auf OS X ist nicht betroffen. Ältere Versionen als Mavericks natürlich auch nicht, denn deren OpenSSL Version ist noch älter. Daher ist OS X nicht direkt betroffen. Server Admins von OS X Server müssen daher nicht möglichst schnell ihre Zertifikate ändern.

Dennoch besteht Handlungsbedarf: Wenn wir als Anwender eine betroffene Website besucht haben, kann es sein, dass unsere übertragenen Daten mitgelesen werden konnten. Wenn wir also Kennwörter oder andere sensible Daten übertragen haben, könnten diese in die falschen Hände gelangt sein. Deshalb sollten wir unsere Kennwörter bei Diensten ändern, die vom Heartbleed Bug betroffen sind. Eine solche Liste findet man z.b. bei den Kollegen von digital trends: http://www.digitaltrends.com/.

Was lernen wir aus dem Heartbleed Bug:
– OS X Server Admins müssen erstmal nichts unternehmen
– Wir sollten immer gute, individuelle Kennwörter verwenden und einen Kennwort-Manager verwenden.

Gut zusammengefasst ist das bei Ars Technica:
http://arstechnica.com/information-technology/2013/06/the-secret-to-online-safety-lies-random-characters-and-a-password-manager/

Also: Auf, Kennwörter ändern!

P.S.: Wer mehr darüber lernen will, wie Zertifikate funktionieren: In den Apple OS X Mavericks 201: Server Essentials Kursen wird SSL besprochen. Wir vermitteln gerne einen Platz in einem der Kurse, die wir für unsere befreundeten Trainingscenter halten.

10 Comments
  • Nitschke Rene
    Posted at 22:33h, 07 Juli

    Mein iPhone 5s wird oft sehr heiß und dabei entleert sich der Akku sehr sehr schnell. Liegt das an dem Akku oder am Gerät ?
    Was kann ich tun?
    Das Handy wurde im Frühjahr vorigen Jahres gekauft.
    Wo lass ich es reparieren?
    mfG. René Nitschke

    • Thomas Kemmer
      Posted at 22:51h, 07 Juli

      Bitte suchen Sie auf https://locate.apple.com/de/de/ nach iPhone-Support durch einen Apple Autorisierten Service Provider in Ihrer Nähe. Um das Problem einzugrenzen, kann Ihnen zunächst auch https://getsupport.apple.com/ helfen – wählen Sie auf dieser Seite iPhone-Support und geben Sie eine Mailadresse an, die am iPhone empfangen werden kann; dadurch können Sie Apple Diagnosedaten Ihres iPhones senden.
      Gruß

    • Thomas Kemmer
      Posted at 22:57h, 07 Juli

      Aber was hat das eigentlich mit Heartbleed Bug zu tun?

  • Walter Rohn
    Posted at 21:29h, 11 April

    DANKE!

  • Andreas Schenk
    Posted at 19:49h, 11 April

    Man ermittelt seine OpenSSL Version wie oben im Screenshot.
    1) Terminal öffnen
    2) openssl eingeben (starten)
    3) version als Kommando eingeben

    Generell sollte aber 10.6.8 safe sein.

  • Walter Rohn
    Posted at 19:21h, 11 April

    Ein einfacher User fragt: Wo kann ich denn sehen, welche OpenSSL-Version bei mir ( OS X 10.6.8) installiert ist?

  • Andreas Schenk
    Posted at 14:15h, 11 April

    Mein Blog Post bezieht sich auf eine Standard-OS X 10.9.2. Installation.
    Wenn jemand eine neuere, evtl. betroffene Version hat, hat vermutlich eine Software installiert, die eine neuere Version mitgebracht hat.
    Trotzdem ist das natürlich interessant und eine gute Anmerkung, denn das kann natürlich auch anderen passieren …

  • Thomas Kemmer
    Posted at 08:32h, 11 April

    Spannend.
    Ich habe soeben nochmals einige Maschinen geprüft.
    Die „normale“ OpenSSL Version von OS X ist:

    10.9.2 Mavericks: 0.9.8y
    10.8.5 Mountain Lion Server: 0.9.8y
    10.8.5 Mountain Lion: 0.9.8y
    10.7.5 Lion: 0.9.8y
    10.6.8 Snow Leopard: 0.9.8y
    10.5.8 Leopard Server: 0.9.7l
    10.5.8 Leopard: 0.9.7l
    10.4.11 Tiger Server: 0.9.7l

  • Hannes Gnad
    Posted at 07:56h, 11 April

    Dann muß an Deiner Mavericks-Installation etwas besonderes sein, denn Apple liefert mit 10.9 tatsächlich 0.9.8y aus. Eventuell aus dem Dritthersteller- oder Open Source-Bereich etwas zusätzliches installiert?

  • Klaus Löfflad
    Posted at 05:32h, 11 April

    Mein Mavericks nutzt 1.0.1f, ist also betroffen. Lion hat deine genannte Version.