Im Folgenden möchten wir Sie über den Status und etwaige Auswirkungen der OpenSSL-Sicherheitslücke CVE-2014-0160, auch bekannt als „Heartbleed Bug“, in Bezug auf Dienste des RHRK und Netze der TU Kaiserslautern informieren.

Alle betroffenen Systeme des RHRK waren bis Mittwoch 09.04.2014 gepatcht. Auf Systemen, die entsprechende TLS-basierte (verschlüsselte) Dienste angeboten haben, wurden Server-Zertifikate und deren zugehörige Schlüssel zurückgezogen bzw. ersetzt. Weiterhin hat das RHRK als Betreiber der Netze an der TU-Kaiserslautern betroffene Systeme außerhalb des RHRK am Campus lokalisiert und die zuständigen Personen direkt kontaktiert bzw. diese Systeme isoliert.

Da eine Ausnutzung der Sicherheitslücke vor dem Patchen der Systeme nie vollständig ausgeschlossen werden kann, sollten Sie ihr RHRK-Passwort ändern, sofern Sie einen der folgenden Dienste vor dem 10.04.2014 genutzt und seither keine Passwortänderung vorgenommen haben:

• eduroam – WLAN (sei es lokal an der TU Kaiserslautern oder per „Roaming“ von anderen Einrichtungen aus
• Webportal des RHRK-Ticketsystems unter https://hotline.rhrk.uni-kl.de/
• Jegliche Dienste, die eine Shibboleth-Authentifizierung über Umleitung zu idp.uni-kl.de nutzen (z.B. OLAT)
• Webportale des HPC-Clusters unter https://elwe.rhrk.uni-kl.de/ sowie https://rtm.rhrk.uni-kl.de
• Lizenzserverfreischaltungen unter https://licserv-a.rhrk.uni-kl.de/firewall.php
• TSM Backup – Portal unter https://tsm.rhrk.uni-kl.de/

Ausdrücklich nicht betroffen waren z.B. folgende Dienste:

• Windows-Anmeldung am Active Directory (Terminalserver, Computer in der Windows-Domäne, …)
• Microsoft Exchange – Dienste
• CommuniGate Pro Maildienste (Webmail, IMAP, POP3) auf mail.uni-kl.de
• Mail-Versand über smtp.uni-kl.de
• VPN mit Cisco AnyConnect
• KIS Office
• QIS Prüfungsverwaltung
• Versionsverwaltung GitHub Enterprise auf https://git.rhrk.uni-kl.de/
• jegliche Authentifizierung über SSH (sei es per Passwort oder per Key)

Eine Änderung ihres zentralen RHRK-Passwortes können Sie unter https://passwort.uni-kl.de/ vornehmen.

Falls Sie ein persönliches Zertifikat unserer PKI zur Signierung oder Verschlüsselung von E-Mails verwenden, so ist dieses nicht von der Problematik betroffen. Lediglich bei einer zertifikatbasierten Client-Authentifizierung mit OpenSSL auf der Client-Seite wäre eine Verwundbarkeit denkbar. Jedoch bieten wir zum einen keine zertifikatbasierten Authentifizierungen an und zum anderen verwenden gängige Webbrowser und E-Mail-Programme kein OpenSSL.

Details zur generellen Problematik finden Sie z.B. im Heise-Artikel unter http://www.heise.de/security/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html.