Auswirkungen der Sicherheitslücke Heartbleed auf Produkte von genua

Auswirkungen der Sicherheitslücke Heartbleed auf Produkte von genua

Am 7. April 2014 wurde eine schwerwiegende Sicherheitslücke in der Verschlüsselungs-Software OpenSSL veröffentlicht, von der ein großer Teil der Webserver weltweit betroffen ist. Durch die Sicherheitslücke namens "Heartbleed" können Clients recht große Auszüge aus dem Speicher des Server-Prozesses auslesen. Bei genua sind einige wenige Produkte betroffen. Wir haben umgehend einen Patch bereitgestellt, der das Problem behebt, und unsere Kunden informiert. Welche Produkte betroffen sind, mögliche Auswirkungen und wirksame Gegenmaßnahmen werden hier dargestellt.

Welche unserer Produkte sind nicht betroffen?

Alle aktuell verfügbaren Versionen der zweistufigen Firewall genugate und der Central Management Station genucenter sind nicht von dem Problem betroffen, da hier eine andere OpenSSL-Version eingesetzt wird. Für die VPN-Lösungen von genua wird kein OpenSSL wie z. B. OpenVPN verwendet. Das von uns verwendete OpenSSH ist grundsätzlich nicht betroffen.

Welche unserer Produkte sind betroffen?

Bei den Produkten Firewall & VPN-Appliance genuscreen, VPN-Appliance genucrypt, Sicherheits-Plattform genubox und Mobile Security Device genucard ist nur die Version 4.2 von der SSL-Lücke betroffen. Die Nutzung von SSL beschränkt sich bei den betroffenen Produkten auf den Zugriff zum Web-GUI. Damit sind die Appliances betroffen, die Standalone verwaltet werden und diejenigen, welche über genucenter verwaltet werden und das Web-GUI für Revisoren bzw. Operatoren aktiviert haben. Hier kann es zu unberechtigten Zugriffen mit den jeweiligen Rechten der User kommen.

Folgendes empfehlen wir unseren Kunden:

  • Kontrolle der ACL für den Admin-Zugang – wir empfehlen generell, diese so restriktiv wie möglich einzustellen
  • umgehend den Patch für diese Schwachstelle einzuspielen (S420_004, 09.04.2014)
  • nach dem Einspielen des Patches neues SSL-Zertifikat erzeugen und die Passworte der beteiligten User auswechseln
  • Kontrolle der vorhandenen Konfiguration
  • Wenn der Zugang zum Web-GUI für den Administrator bisher nicht per ACL auf ein vertrauenswürdiges Admin-Segment eingeschränkt war, dann empfehlen wir eine komplette Neuinstallation der Standalone Appliance.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde informiert. Es hat die Maßgabe gemacht, dass VS-NfD-konformer Betrieb nur möglich ist, wenn entweder der Patch wie oben beschrieben eingespielt wurde oder der Webserver vorübergehend auf der Appliance deaktiviert wurde (falls ein umgehendes Patchen nicht möglich sein sollte).

Lesen Sie auch: Heartbleed – Strategien zur Schadensbegrenzung

Bildquelle: © slunicko1977 / Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.