End-of-Shift report
Timeframe: Mittwoch 09-04-2014 18:00 − Donnerstag 10-04-2014 18:00
Handler: Alexander Riepl
Co-Handler: Stephan Richter
Hintergrund: Passwörter in Gefahr - was nun?
Durch Heartbleed sind theoretisch schon wieder viele Millionen Passwörter in Gefahr. Sicherheitsexperten raten dazu, alle zu ändern. heise-Security-Chefredakteur Jürgen Schmidt schätzt das anders ein.
http://www.heise.de/security/artikel/Passwoerter-in-Gefahr-was-nun-2167584.html
Heartbleed: 600.000 Server immer noch ungeschützt
Die Sicherheitslücke Heartbleed zieht immer weitere Kreise. Möglicherweise wurde die Schwachstelle schon seit Monaten ausgenutzt.
http://futurezone.at/digital-life/heartbleed-600-000-server-immer-noch-ungeschuetzt/60.135.616
Sicherheitslücke: Unternehmen können für Schäden durch Heartbleed haftbar sein
Der Heartbleed-Bug gilt als eine der gravierendsten Sicherheitslücken aller Zeiten. Millionen SSL-gesicherte Websites waren betroffen, erste Missbrauchsfälle sind bekanntgeworden. Können Unternehmen und Admins, die den Fehler nicht behoben haben, für Schäden belangt werden? Golem.de hat nachgefragt. (Ruby, OpenSSL)
http://www.golem.de/news/sicherheitsluecke-unternehmen-koennen-fuer-schaeden-durch-heartbleed-haftbar-sein-1404-105779-rss.html
Smartphones vom SSL-GAU (fast) nicht betroffen
Keine der wichtigen Smartphone-Plattformen setzt in der aktuellen Version eine der für Heartbleed anfälligen OpenSSL-Bibliotheken ein. Lediglich Android-Nutzer mit einer mittelalten Version benötigen ein Update.
http://www.heise.de/security/meldung/Smartphones-vom-SSL-GAU-fast-nicht-betroffen-2167793.html
OpenSSL-Bug: Spuren von Heartbleed schon im November 2013
Ein Systemadministrator hat angeblich in einem Logfile vom November letzten Jahres Exploit-Code für den Heartbleed-Bug gefunden. Die EFF ruft andere Administratoren zu Nachforschungen auf. (Technologie, Server)
http://www.golem.de/news/openssl-bug-spuren-von-heartbleed-schon-im-november-2013-1404-105782-rss.html
Kriminalität: Der Untergrund ist digital
Wie lässt sich gemeinsam gegen die Kriminalität 2.0 vorgehen? Die Antwort auf dem Kongress des Verbandes für Sicherheitstechnik: Verzahnung, engere Kooperationen, Zusammenarbeit & und Hoffen auf aktive Bürger und die Vorratsdatenspeicherung.
http://www.heise.de/security/meldung/Kriminalitaet-Der-Untergrund-ist-digital-2167381.html
Windows XP: Wechselmuffel im Patch-Dilemma
Das offizielle Ende des XP-Supports bedeutet nicht, dass keine Patches mehr im Netz auftauchen dürften. Für Nutzer könnte es aber gefährlich werden, solche Dateien zu installieren. (Microsoft, Spam)
http://www.golem.de/news/windows-xp-wechselmuffel-im-patch-dilemma-1404-105772-rss.html
"Heartbleed"-Lücke - Chance nutzen
Wie F-Secure in einem Blog-Post schreibt, sollten Administratoren die Aufräumarbeiten im Zuge der "Heartbleed"-Lücke auch gleich nutzen, um die entsprechenden Konfigurationen auf aktuellen Stand zu bringen. F-Secure empfiehlt dazu den OWASP Transport Layer Protection Cheat Sheet, wir schliessen uns dem an und ergänzen um das Better Crypto Hardening Paper (PDF) von bettercrypto.org.
http://www.cert.at/services/blog/20140409164644-1090.html
JSA10623 - 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160)
http://kb.juniper.net/index/content&id=JSA10623&actp=RSS
JSA10618 - 2014-04 Security Bulletin: Junos: Kernel panic processing high rate of crafted IGMP packets (CVE-2014-0614)
http://kb.juniper.net/index/content&id=JSA10618&actp=RSS
OpenVPN Access Server OpenSSL TLS Heartbeat Information Disclosure Vulnerability
https://secunia.com/advisories/57755
Multiple Vulnerabilities in Cisco ASA Software
Cisco Adaptive Security Appliance (ASA) Software is affected by the following vulnerabilities:
Cisco ASA ASDM Privilege Escalation Vulnerability
Cisco ASA SSL VPN Privilege Escalation Vulnerability
Cisco ASA SSL VPN Authentication Bypass Vulnerability
Cisco ASA SIP Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-asa