11.04.2014 – Heartbleed-Sicherheitslücke

11.04.2014 – Heartbleed-Sicherheitslücke

Heise informierte über eine kritische Sicherheitslücke in Produkten mit SSL-Zertifikaten (davon betroffen sind auch Firewalls und Accesspoints):
http://www.heise.de/newsticker/meldung/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html

Folgend eine Auflistung der uns bekannten, betroffenen Geräte aus dem Portfolio der VINTIN
(Keine Gewähr für Vollständigkeit):

Update 23.04.2014

Lifesize

Laut Aussage von Lifesize ist LifeSize ClearSea™ Server von diesem Fehler nicht betroffen. Der Hersteller empfiehlt jedoch ein update auf die Version 3.1.6 welche den Desktop Client (v. 8.2.10) beinhaltet.
http://www.lifesize.com/en/support

Offizielles Schreiben von ClearSea™

Bei den ClearSea™ Clients besteht, unabhängig von der Plattform, Handlungsbedarf.

clear_sea_client

 

Update 16.04.2014

Extreme betroffene Geräte

  • Black Diamond Series X8, 8900 and 8800 running EXOS version 15.4.1
  • Summit Series X770, X670, X480, X460, X440, X430, E4G-200 and E4G-400 running EXOS version 15.4.1
  • 64-bit (Ubuntu) hardware-based and virtual NetSight appliances; running versions 4.4, 5.0, 5.1, or 6.0
  • 64-bit (Ubuntu) hardware-based and virtual NAC & IA appliances; running versions 5.0, 5.1, or 6.0
  • 64-bit (Ubuntu) hardware-based and virtual Purview appliances; running version 6.0

Extreme weist darauf hin, dass keine weiteren Systeme von Extreme networks betroffen sind.

Offizielles Schreiben von Extreme networks

Update 16.04.2014

Fortinet betroffene Geräte

  • FortiGate (FortiOS) 5.0.0 up to 5.0.6
  • FortiAuthenticator 3.x
  • FortiMail 4.3.x and 5.x
  • FortiVoice models 200D, 200D-T and VM
  • FortiRecorder
  • FortiADC D-Series models 1500D, 2000D and 4000D
  • FortiADC E-Series 3.x
  • Coyote Point Equalizer GX / LX 10.x
  • AscenLink v7.0 and v7.1-B5599
  • FortiDDoS 4.x
  • FortiDNS

Fortinet weist darauf hin, dass keine weiteren Systeme von Fortinet betroffen sind

Offizielles Schreiben von Fortinet

 

Update 14.04.2014

 

Extreme Networks

Extreme XOS 15.4.1 .x

 

Fix durch Update 15.4.2 sowie 15.5.1

Fortinet

  • FortiGate (FortiOS) 5.0 and higher
  • FortiAuthenticator 3.0 and higher
  • FortiMail 5.0 and higher
  • FortiVoice
  • FortiRecorder

Firmware-Update Fortinet: https://support.fortinet.com/
Workaround (siehe Link Punkt 1.2): http://www.fortiguard.com/advisory/FG-IR-14-011/

ARUBA

  • ArubaOS 6.3.x, 6.4.x
  • ClearPass 6.1.x, 6.2.x, 6.3.x
  • ArubaOS 6.3.1.5
  • ArubaOS 6.4.0.3
  • ClearPass OpenSSL fix für Version 6.1.x, 6.2.x, 6.3.x

Firmware-Update ARUBA: http://support.arubanetworks.com/

Zur Schließung dieser Lücke sind zwei Maßnahmen erforderlich:

1. Einspielen eines Security-Updates um die weitere Offenlegung von Daten, z. B. Ihres private key zu verhindern. (siehe Beschreibung zuvor)

2. Austausch Ihres private key, da nicht festgestellt werden kann, ob dieser aufgrund der Schwachstelle bereits unberechtigt ausgelesen wurde.

Weitere Informatione zum Austausch des private key finden Sie hier:
http://www.heise.de/security/meldung/Heartbleed-SSL-GAU-Neue-Zertifikate-braucht-das-Land-2166639.html

Wir verschicken diese Hinweise aufgrund der hohen Risiken, die mit dieser Lücke einhergehen. Wir weisen darauf hin, dass hieraus kein Anspruch auf die grundsätzliche Information über Sicherheitslücken durch die DANES entsteht. Wir empfehlen, sich hier regelmäßig in einschlägigen Fachmedien zu informieren.

Für weitere Fragen und Unterstützung beim Einspielen der Updates steht ihnen unser Service-Desktop unter 09721/67594-33 oder helpdesk@danes.de zur Verfügung.