Ci-dessous, nous souhaitons vous informer sur le statut et les éventuelles conséquences de la faille de sécurité OpenSSL CVE-2014-0160, également connue sous le nom de "Heartbleed Bug", en ce qui concerne les services du RHRK et les réseaux de l'Université technique de Kaiserslautern.

Tous les systèmes concernés du RHRK étaient patchés jusqu'au mercredi 09.04.2014. Sur les systèmes qui proposaient des services basés sur TLS (cryptés), les certificats de serveur et leurs clés correspondantes ont été retirés ou remplacés. En outre, le RHRK, en tant qu'exploitant des réseaux de l'université technique de Kaiserslautern, a localisé les systèmes concernés en dehors du RHRK sur le campus et a contacté directement les personnes responsables ou a isolé ces systèmes.

Comme une exploitation de la faille de sécurité ne peut jamais être totalement exclue avant le patching des systèmes, vous devriez changer votre mot de passe RHRK si vous avez utilisé l'un des services suivants avant le 10.04.2014 et si vous n'avez pas changé de mot de passe depuis :

• eduroam - WLAN (que ce soit localement à la TU Kaiserslautern ou par "roaming" depuis d'autres institutions.
• Portail web du système de billetterie de la RHRK sous https://hotline.rhrk.uni-kl.de/
• Tout service utilisant une authentification Shibboleth via une redirection vers idp.uni-kl.de (p. ex. OLAT)
• Portails web du cluster HPC sous https://elwe.rhrk.uni-kl.de/ ainsi que https://rtm.rhrk.uni-kl.de
• Libérations de serveurs de licences sous https://licserv-a.rhrk.uni-kl.de/firewall.php
• Portail TSM Backup sous https://tsm.rhrk.uni-kl.de/

Les services suivants, par exemple, n'étaient expressément pas concernés :

• Connexion Windows à l'Active Directory (Terminal Server, ordinateurs dans le domaine Windows, ...)
• Services Microsoft Exchange
• Services de messagerie CommuniGate Pro (Webmail, IMAP, POP3) sur mail.uni-kl.de
• Envoi de courrier sur smtp.uni-kl.de
• VPN avec Cisco AnyConnect
• KIS Office
• Gestion des examens QIS
• Gestion des versions GitHub Enterprise sur https://git.rhrk.uni-kl.de/
• toute authentification via SSH (que ce soit par mot de passe ou par clé)

Vous pouvez modifier votre mot de passe central RHRK sur https://passwort.uni-kl.de/.

Si vous utilisez un certificat personnel de notre PKI pour signer ou crypter des e-mails, celui-ci n'est pas concerné par la problématique. Une vulnérabilité ne serait envisageable qu'en cas d'authentification client basée sur un certificat avec OpenSSL du côté client. Cependant, d'une part, nous ne proposons pas d'authentification basée sur un certificat et, d'autre part, les navigateurs web et les programmes de messagerie courants n'utilisent pas OpenSSL.

Vous trouverez des détails sur la problématique générale par exemple dans l'article de Heise sous http://www.heise.de/security/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html.