04/14 - Heartbleed – schwerwiegender Fehler in der OpenSSL

14. April 2014

In den vergangenen Tagen hat Heartbleed für helle Aufregung gesorgt.  Er wurde zur größten Sicherheitslücke in der Geschichte des Internets erklärt. In einem Modul der weit verbreiteten Kryptographie-Bibliothek OpenSSL, lässt sich durch einen Fehler der verschlüsselte Datenverkehr ausspähen. Dieses Problem betrifft nicht nur Webserver sondern auch E-Mail, VPN und andere Dienste. Anmeldedaten und Passwörter können ausgelesen werden und eigentlich verschlüsselter Datenverkehr wird für böswillige Angreifer sichtbar.

Viele Hersteller wie Fortinet, Juniper, Radware oder Blue Coat sind von diesem Problem betroffen, teilweise ganze Produktreihen, manchmal auch nur einzelne Versionen.

Jetzt sollten schnellstmöglich die bereits vorliegenden Updates installiert werden, die das Heartbleed-Leck schließen.

Folgend finden Sie Hilfe zu verschiedenen Herstellern:

Aruba: Bugfixes verfügbar

Betroffene Versionen sind:

  • ArubaOS 6.3.x, 6.4.x
  • ClearPass 6.1.x, 6.2.x, 6.3.x

Aruba wird bis 11.04.2014. ein neues Patch Release zur Verfügung stellen und rät allen Nutzern ein Upgrade auf die neuesten Versionen vorzunehmen und Zertifikate ggf. zu erneuern:

  • ArubaOS 6.3.1.5
  • ArubaOS 6.4.0.3
  • ClearPass 6.1.X
  • ClearPass 6.2.X
  • ClearPass 6.3.X

Weitere Informationen finden Sie unter diesem Link

Astaro / Sophos:

Weitere Informationen finden Sie unter diesem Link

Blue Coat: Patches verfügbar

Kunden, die den Blue Coat Cloud Service und das ThreatPulse Portal nutzen, sind nicht von der OpenSSL Schwachstelle betroffen. Betroffen sind Blue Coat Produkte, die die entsprechende Version von OpenSSL mit aktivierter "Heartbeat Option" nutzen, wenn diese als Server innerhalb TLS Sessions agieren. Nachfolgend finden Sie Infos zu den relevanten Produkten und Versionen sowie Links zu den Hot-Fixes.

Product

Versions

Release Target Date

Status

Patch Version

ProxySG

6.5.1.1 - 6.5.3.5

April 9, 2014

Released

6.5.3.6

ProxyAV

3.5.1.1. - 3.5.1.6

  Under development

3.5.1.7

Content Analysis System

1.1.1.1 - 1.1.5.1

  Under development

1.1.5.2

SSL Visibility Appliance

3.7.0

April 9, 2014

Released

3.7.0-69

Malware Analysis Appliance

1.1.0

  Under development

1.1.1

In den meisten Konfigurationen sind die Produkte ProxyAV, Content Analysis System und Malware Analysis Appliances nicht via Internet erreichbar, daher ist die Gefahr hierbei sehr gering. Generell empfiehlt Blue Coat aber die Schwachstelle schnellstmöglich zu beseitigen und die entsprechenden Patches einzuspielen.

Zudem möchten wir Sie informieren, dass Blue Coat die Schwachstelle behoben hat und entsprechende Informationen an Ihre Nutzer bereits versendet hat.


Weitere Informationen finden Sie unter diesem Link

Brocade:

Ist nicht betroffen

Check Point

Folgende Produkte sind nicht von der Schwachstelle betroffen:

  • Security Gateway
  • Security Management Server
  • Multi-Domain Security Management Server
  • Endpoint Security Management Server
  • Endpoint Connect clients
  • SSL Network Extender (SNX)
  • 61000 Data Center Security Appliances
  • 21000 Data Center Security Appliances
  • 2000 / 4000 / 12000 / 13500 Appliances
  • Power-1 / UTM-1 / VSX-1 / DDoS / Smart-1 Appliances
  • IP Series Appliances
  • 600 appliances
  • 1100 appliances
  • Edge devices
  • Safe@Office devices

Folgende Produktlinie wird derzeit noch geprüft:

  • Check Point Mobile VPN for iOS & Android

Weitere Informationen finden Sie unter diesem Link

Cisco

Weitere Informationen finden Sie unter diesem Link

Extreme Networks

Weitere Informationen finden Sie unter diesem Link


F5 Networks: BIG-IP nicht betroffen – Management Interfaces evtl. prüfen

Kunden, die F5 BIG-IP im Full-Proxy Modus betreiben und somit das SSL terminieren, sind von dieser Schwachstelle auf Grund des F5-eigenen SSL-Profils nicht betroffen und schützen somit die Backend-Server vor weiteren Attacken. Für die Fälle, in der eine Verschlüsselung bis zum Server jedoch zwingend erforderlich ist, kann durch die Verwendung einer „iRule“ eine Absicherung der SSL-Services auf den Backend-Systemen erreicht werden. Auf der F5 Developer Community „DevCentral“ findet man unter https://devcentral.f5.com/articles/openssl-heartbleed-cve-2014-0160 hierzu weitere Einzelheiten.

F5 Systeme sind aktuell nur in den TMOS-Versionen 11.5.0 und 11.5.1 ausschließlich für das Management-Interface betroffen, da hier OpenSSL 1.0.1 eingesetzt wird. F5 rät grundsätzlich davon ab, das Management-Interface über einen Internetzugang erreichbar zu machen, somit minimiert sich die Angreifbarkeit drastisch.

Kurz und bündig:

  • F5 schützt alle Backend-Server durch den HeartBleed Bug in OpenSSL im Full-Proxy-Modus, unabhängig von der eingesetzten TMOS Version
  • In TMOS 11.4.x und weiteren früheren Versionen gibt es keinerlei Vulnerabilität an der BIG-IP, auch nicht am Management-Interface
  • Nur in 11.5.0 und 11.5.1 hat F5 eine Vulnerabilität des BIG-IP Management Interfaces, ein Hotfix hierzu wird schnellstmöglich zur Verfügung gestellt. F5 rät davon ab, die Management-Schnittstelle über das Internet zugänglich zu machen

Weitere Informationen finden Sie unter  Link 1 oder Link 2

Fortinet: Bugfix verfügbar

Ein Software Update für FortiOS 5 steht auf der Supportseite zum Download bereit http://support.fortinet.com. Die Schwachstelle ist gefixt in der Version FortiOS 5.0.7. Die Version FortiOS 4.3 (4.0MR3) und vorausgehende Versionen sind von der Schwachstelle nicht betroffen.

Folgende Produktlinien sind betroffen:

  • FortiGate (FortiOS) 5.0.0 up to 5.0.6
  • FortiClient 5.x
  • FortiAuthenticator 3.x
  • FortiMail 4.3.x and 5.x
  • FortiVoice models 200D, 200D-T and VM
  • FortiRecorder
  • FortiADC D-Series models 1500D, 2000D and 4000D
  • FortiADC E-Series 3.x
  • Coyote Point Equalizer GX / LX 10.x
  • FortiDDoS 4.x
  • FortiDNS
  • AscenLink v6.5 and 7.0

Weitere Informationen finden Sie unter diesem Link

Hewlett Packard

Weitere Informationen finden Sie unter diesem Link

Juniper: Bugfixes verfügbar

Hier finden Sie eine Aufstellung der betroffenen Juniper Produkte:
zum Juniper Info Center

Weitere Informationen finden Sie unter diesem Link

McAfee: Bugfixes verfügbar

McAfee stellt eine Liste der Produktversionen bereit, die von der Schwachstelle betroffen sind und empfiehlt schnellstmögliche Upgrades der betroffenen Versionen.

Weitere Informationen finden Sie unter diesem Link

Mobiliron:

MobileIron Support Update: Statement on OpenSSL "Heartbleed" Vulnerability

(CVE-2014-0160)

Details


On April 7, 2014, a new security vulnerability, CVE-2014-016, was announced in OpenSSL version 1.0.1.

For more details on CVE-2014-016, see US CERT and NIST NVD

MobileIron has reviewed and tested the issue, and we have confirmed the following:

  • All released versions of VSP, Sentry, Connector, Atlas, Connected Cloud and cloud-hosted BYOD portal are NOT affected by the vulnerability and NO action is required by our customers.
  • The on-premise BYOD Portal MAY be affected by the vulnerability, depending on the version of OpenSSL that is packaged with your version of Linux currently installed on your BYOD Portal server.

Please reference our Knowledge Base article for further details, including recommendations for on-prem BYOD portal remediation steps.

Radware:

Weitere Informationen finden Sie unter diesem Link

Riverbed

Weitere Informationen finden Sie unter diesem Link

RSA: nicht betroffen

RSA bzw. RSA Produkte sind von den Schwachstellen der OpenSSL Implementationen nicht betroffen. RSA hat im Gegenteil, sogar Empfehlungen herausgegeben, wie von dieser Problemstellung betroffene Infrastruktur-Komponenten (Server, Gateways) erkannt werden können und wie sogar auch Exploits (Daten-Exfiltrationen) aufgespürt werden können. Siehe nachfolgende Original-Meldung von RSA unter:

community.emc.com/thread/192375

Splunk

Weitere Informationen finden Sie unter diesem Link

Trustwave: Bugfix verfügbar

Heartbleed Vulnerability Hotfix für Trustwave SWG (Secure Web Gateway) v11.0 and v11.5 verfügbar.


Weitere Indormationen finden Sie unter diesem Link

Tufin: Patch verfügbar

Folgende Informationen hat unser der Hersteller zur Verfügung gestellt:

The Heartbleed vulnerability affects TufinOS 2.4 only (released on Feb 16, 2014), it does not affect TufinOS 1.x, TufinOS 2.3 and below. (You can see the TufinOS version by running the command: tss version) If you are on TufinOS 2.4 please contact: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! and we will contact you to patch your system. Please avoid upgrading to TufinOS 2.4 until further notice.

If you are using Red Hat or CentOS run the following command: rpm -qa | grep "openssl" The command prints the version of open SSL. If the version is not started with “openssl-1.0.1e” you are protected. Otherwise run the following command: rpm -q --changelog openssl | grep CVE-2014-0160

If the command returns several lines of output that means the fix was already implemented and you are protected. If the command returns no output you need to patch the system.

Trend Micro:

Trend Micro received a vulnerability claim related to the recently published CVE-2014-0160 that could potentially affect its products.
Below is the technical description of the claim:
"The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information from process memory via crafted packets that trigger a buffer over-read, as demonstrated by reading private keys, related to d1_both.c and t1_lib.c, aka the Heartbleed bug."

Folgende Produkte sind nicht betroffen:

  • Interscan Web Security Virtual Appliance
  • ServerProtect for Linux
  • OfficeScan
  • Network VirusWall Enforcer
  • Control Manager
  • Deep Security
  • InterScan Messaging Security Virtual Appliance

Weitere Informationen finden Sie unter diesem Link

Watchguard: Bug Fix verfügbar

NEW RELEASE: FIREWARE XTM 11.8.3 UPDATE 1 (11.8.3 Update 1 is now available at the software download site with a critical patch to address the Heartbleed vulnerability (CVE-2014-0160) in OpenSSL in WatchGuard appliances. We recommend you update immediately if you use Fireware XTM v11.8.x. This flaw does not affect appliances running Fireware XTM v11.7.4 or earlier)

WatchGuard is not aware of any breaches involving this vulnerability, but because of its critical nature and the length of time it has been available to exploit, we recommend that you take measures to change passwords and renew certificates used in your XTM device after you upgrade. We have published a knowledgebase article with details on how to do this.

DOES THIS RELEASE PERTAIN TO ME? This release applies to all XTM appliances, except XTM 21/21-W, 22/22-W, or 23/23-W appliances, but only those running 11.8.x versions of the firmware. Please read the Release Notes before you upgrade, to understand what’s involved.

WHAT ABOUT OTHER WATCHGUARD PRODUCTS? WatchGuard SSL VPN, Dimension and the WSM Management software are not affected. The vulnerable OpenSSL library is used within XCS only for communications between the XCS appliance and our SecureMail encryption provider, Voltage. XCS acts as a client for those connections, not a listening server. Therefore, the flaw could only be exploited by Voltage themselves, and no one else; as such, we believe there is no actual risk. Nevertheless, we are building a hotfix that we hope to release by the end of the week.

HOW DO I GET THE FIREWARE XTM RELEASE? XTM appliances owners who have a current LiveSecurity Service subscription can obtain this update without additional charge by downloading the applicable packages from the Articles & Software section of WatchGuard’s Support Center. To make it easier to find the relevant software, be sure to uncheck the “Article”, and “Known Issue” search options, and press the Go button.

Weitere Informationen finden Sie unter diesem Link

Websense:

Websense hat einen Leitfaden zur Verfügung gestellt in dem Sie Informationen zum Thema "Heartbleed" und wie die Sicherheitslücke bei den betroffenen Websense Produkten zu schließen sind:
websense.com/content/support/library/ni/shared/security-alerts/openssl-vul-2014.pdf

Weitere Informationen finden Sie unter diesem  Link