
10 Apr Heartbleed Bug und OS X
In den letzten Tagen wurde ein schwerwiegender Bug in OpenSSL entdeckt – und unter dem Name „Heartbleed Bug“ bekannt. Die Website http://heartbleed.com beschreibt den Fehler in voller Tiefe (in Englisch). Der Bug betrifft die Open-Source Implementation OpenSSL.
Durch den Bug ist es Angreifern möglich, an die geheimen Schlüssel der SSL-Verbindung zu gelangen. Sind diese erstmal in der Hand der Angreifer, können diese die SSL-Verschlüsselung brechen und den Inhalt der übertragenen Daten mitlesen. Außerdem kann sich der Angreifer in Zukunft als der Server ausgeben und der User kann nicht feststellen, dass er gar nicht mit dem richtigen Server verbunden ist. SSL wird an sehr vielen Stellen verwendet: Banking, Email, Verbindungen von Client-Programmen zu Servern, geschützte Websites, etc. Es gibt sogar VPN-Varianten, die auf SSL aufbauen.
Allerdings sind nicht alle SSL Varianten betroffen – nur die, die OpenSSL verwenden und da auch nur bestimmte Versionen. Betroffen sind die Versionen 1.0.1 bis 1.0.1f. Ältere und neuere Versionen sind nicht betroffen.
Was bedeutet das für uns Mac-User? Nun, einfach nachgeschaut:
Auf Mavericks kommt also offensichtlich seitens Apple OpenSSL 0.9.8 zum Einsatz. D.h. OpenSSL auf OS X ist nicht betroffen. Ältere Versionen als Mavericks natürlich auch nicht, denn deren OpenSSL Version ist noch älter. Daher ist OS X nicht direkt betroffen. Server Admins von OS X Server müssen daher nicht möglichst schnell ihre Zertifikate ändern.
Dennoch besteht Handlungsbedarf: Wenn wir als Anwender eine betroffene Website besucht haben, kann es sein, dass unsere übertragenen Daten mitgelesen werden konnten. Wenn wir also Kennwörter oder andere sensible Daten übertragen haben, könnten diese in die falschen Hände gelangt sein. Deshalb sollten wir unsere Kennwörter bei Diensten ändern, die vom Heartbleed Bug betroffen sind. Eine solche Liste findet man z.b. bei den Kollegen von digital trends: http://www.digitaltrends.com/.
Was lernen wir aus dem Heartbleed Bug:
– OS X Server Admins müssen erstmal nichts unternehmen
– Wir sollten immer gute, individuelle Kennwörter verwenden und einen Kennwort-Manager verwenden.
Gut zusammengefasst ist das bei Ars Technica:
http://arstechnica.com/information-technology/2013/06/the-secret-to-online-safety-lies-random-characters-and-a-password-manager/
Also: Auf, Kennwörter ändern!
P.S.: Wer mehr darüber lernen will, wie Zertifikate funktionieren: In den Apple OS X Mavericks 201: Server Essentials Kursen wird SSL besprochen. Wir vermitteln gerne einen Platz in einem der Kurse, die wir für unsere befreundeten Trainingscenter halten.
Nitschke Rene
Posted at 22:33h, 07 JuliMein iPhone 5s wird oft sehr heiß und dabei entleert sich der Akku sehr sehr schnell. Liegt das an dem Akku oder am Gerät ?
Was kann ich tun?
Das Handy wurde im Frühjahr vorigen Jahres gekauft.
Wo lass ich es reparieren?
mfG. René Nitschke
Thomas Kemmer
Posted at 22:51h, 07 JuliBitte suchen Sie auf https://locate.apple.com/de/de/ nach iPhone-Support durch einen Apple Autorisierten Service Provider in Ihrer Nähe. Um das Problem einzugrenzen, kann Ihnen zunächst auch https://getsupport.apple.com/ helfen – wählen Sie auf dieser Seite iPhone-Support und geben Sie eine Mailadresse an, die am iPhone empfangen werden kann; dadurch können Sie Apple Diagnosedaten Ihres iPhones senden.
Gruß
Thomas Kemmer
Posted at 22:57h, 07 JuliAber was hat das eigentlich mit Heartbleed Bug zu tun?
Walter Rohn
Posted at 21:29h, 11 AprilDANKE!
Andreas Schenk
Posted at 19:49h, 11 AprilMan ermittelt seine OpenSSL Version wie oben im Screenshot.
1) Terminal öffnen
2) openssl eingeben (starten)
3) version als Kommando eingeben
Generell sollte aber 10.6.8 safe sein.
Walter Rohn
Posted at 19:21h, 11 AprilEin einfacher User fragt: Wo kann ich denn sehen, welche OpenSSL-Version bei mir ( OS X 10.6.8) installiert ist?
Andreas Schenk
Posted at 14:15h, 11 AprilMein Blog Post bezieht sich auf eine Standard-OS X 10.9.2. Installation.
Wenn jemand eine neuere, evtl. betroffene Version hat, hat vermutlich eine Software installiert, die eine neuere Version mitgebracht hat.
Trotzdem ist das natürlich interessant und eine gute Anmerkung, denn das kann natürlich auch anderen passieren …
Thomas Kemmer
Posted at 08:32h, 11 AprilSpannend.
Ich habe soeben nochmals einige Maschinen geprüft.
Die „normale“ OpenSSL Version von OS X ist:
10.9.2 Mavericks: 0.9.8y
10.8.5 Mountain Lion Server: 0.9.8y
10.8.5 Mountain Lion: 0.9.8y
10.7.5 Lion: 0.9.8y
10.6.8 Snow Leopard: 0.9.8y
10.5.8 Leopard Server: 0.9.7l
10.5.8 Leopard: 0.9.7l
10.4.11 Tiger Server: 0.9.7l
Hannes Gnad
Posted at 07:56h, 11 AprilDann muß an Deiner Mavericks-Installation etwas besonderes sein, denn Apple liefert mit 10.9 tatsächlich 0.9.8y aus. Eventuell aus dem Dritthersteller- oder Open Source-Bereich etwas zusätzliches installiert?
Klaus Löfflad
Posted at 05:32h, 11 AprilMein Mavericks nutzt 1.0.1f, ist also betroffen. Lion hat deine genannte Version.