Sicherheitshinweis: Kritische Sicherheitslücke in OpenSSL 1.0.1 betrifft auch Communote Systeme

Sicherheitshinweis: Kritische Sicherheitslücke in OpenSSL 1.0.1 betrifft auch Communote Systeme

Gestern wurde ein sicherheitskritischer Bug in der OpenSSL Implementierung bekannt. Heise.de beschreibt es als den “GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL“. Betroffen sind also insbesondere Server, die im Internet betrieben werden und eine SSL-Verschlüsselung nutzen, speziell mit der Version 1.0.1 von OpenSSL. Dieser Sicherheitshinweis betrifft auch Betreiber von Communote Systemen mit eigenen Installationen.

Was müssen Kunden unserer Communote Cloud-Plattform beachten?

Die Communote Cloud-Plattform wurde kurz nach Bekanntwerden der Sicherheitslücke auf den aktuellen, sicheren Softwarestand von OpenSSL 1.0.1g gebracht und ist entsprechend sicher. Als zusätzliche Sicherheitsmaßnahme erfolgt ein Austausch der SSL-Zertifikate.

Hinweis: Da nicht 100%ig ausgeschlossen werden kann, dass unter Ausnutzung der Sicherheitslücke auch Passwörter ausgelesen wurden, empfehlen wir unseren Kunden, alle Anwender aufzufordern, ihre Passwörter zurückzusetzen. Dies ist über den Aufruf der Passwort-Rücksetzen-Funktion möglich, die durch Aufruf der folgenden URL https://www.communote.com/microblog/<ihre_communote_id>/user/sendforgottenpw.do?pwaction=sendpwemail erreichbar ist. Alternativ kann das Passwort auch im Nutzerprofil geändert werden.

Was müssen Kunden mit eigenen Installationen beachten?

  1. Prüfen Sie, ob Sie Communote mit SSL betreiben (was wir grundsätzlich empfehlen) und ob hier OpenSSL 1.0.1 bis 1.0.1f im Einsatz ist. Dies ist bspw. bei Einsatz von Apache httpd unter Linux und Windows der Fall. In diesem Fall wird ein sofortiges Update auf Version 1.0.1g empfohlen. Die ältere und häufig eingesetzte Version 0.9.8 gilt als sicher. Nähere Informationen finden Sie unter www.heartbleed.com.
  2. Tauschen Sie SSL-Zertifikate betroffener Systeme aus. Einige Trustcenter bieten dafür die Möglichkeit, bestehende Zertifikate neu auszustellen. Das alte Zertifikat sollte invalidiert werden.
  3. Fordern Sie Ihre Anwender nach Austausch des Zertifikats auf, ihr Communote-Passwort zurückzusetzen. Für nicht an LDAP/AD-Systeme angebundene Systeme ist dies über den Aufruf der Passwort-Rücksetzen-Funktion möglich, die durch Aufruf der folgenden URL https://<ihr_communote_host>/microblog/global/user/sendforgottenpw.do?pwaction=sendpwemail erreichbar ist.

Auf dieser Seite findet sich ein Online-Test, mit dem Sie prüfen können, ob Ihr System betroffen ist.

Für Rückfragen steht unser Communote-Supportteam gern zur Verfügung.

Share this post


Durch Verwendung dieser Seite erklären Sie sich mit unseren Datenschuztbestimmung und der Verwendung von Cookies einverstanden. Mehr Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen