Ändern Sie bitte Ihre Passwörter jetzt! Sicher haben Sie schon gelesen, dass in Zusammenhang mit OpenSSL eine Sicherheitslücke entdeckt wurde. Wer diese kannte, konnte sich zum Beispiel Logininformationen zu diversen Onlinediensten verschaffen, wenn die Server OpenSSL in der Version 1.0.1 implementiert hatten. Die Verwundbarkeit liegt in der sogenannten „Heartbeat“ -Erweiterung für den Verschlüsselungsalgorithmus TLS (Transport Layer Security). Entsprechend bekam dieser Bug den Namen „Heartbleed“. Heatbeat ist eine Ergänzung zum längeren Aufrechterhalten der verschlüsselten Verbindung und muss nicht aktiviert sein, auch wenn OpenSSL verwendet wird.
OpenSSL ist ein Quasi-Standard und auf Linux oder linuxartigen System überaus oft anzutreffen. Auch bei goneo finden sich demzufolge OpenSSL-Implementierungen. Auch die TLS-Heartbeat-Erweiterung findet bei uns Verwendung. Wir haben nach Bekanntwerden der Sicherheitslücke natürlich sofort reagiert und in einer Eilaktion inzwischen die betroffenen Systeme gepatched, d.h. die verwundbaren Stellen entfernt.
Wir sind sicher, Sie erhalten derzeit von vielen anderen Anbietern von Onlinediensten ähnliche Informationen, denn OpenSSL mit aktiviertem Heartbeat ist weit verbreitet.
Unser dringender Tipp ist: Ändern Sie Ihre Passwörter, die Sie bei goneo benutzen, umgehend, möglichst sofort. Dies betrifft das Passwort für das goneo Kundencenter, die E-Mailadressen, Datenbankpasswörter (MySQL) und FTP-Passwörter. Wichtig ist, auch die Abhängigkeiten zu berücksichtigen: Anwendungen wie WordPress, Joomla und andere speichern die Datenbankverbindung, u.a. auch das Datenbankpasswort in einer Konfigurationsdatei. Dort müssen Sie das neu vergebene MySQL Passwort auch ändern. Solche Änderungen können Sie per FTP vornehmen.
Aufgrund der Natur des Bugs kann man nicht feststellen, ob und welche Informationen möglicherweise in unberechtigte Hände gefallen sind. Selbst wenn dies passiert ist, ist die gefundene Information wertlos, wenn Sie neue Zugangsdaten definieren und verwenden.
Das Heartbleed – Problem ist deshalb als ernst einzustufen, weil Angriffe durch Ausnutzung dieser Sicherheitslücke vergleichsweise einfach sind. Die Lücke „Heartbleed“ ermöglicht es nach Darstellung des Fachmagzins golem, Angreifern, Zugriff auf einen 64 Kilobyte großen RAM-Speicherblock zu nehmen, der für die Applikation verwendet wird, die OpenSSL verwendet. Welche Informationen dort liegen, ist von vielen Bedingungen abhängig und wenig vorhersehbar. Es ist möglich, dass dort Zugangsdaten oder auch Cookies zwischengespeichert werden, je nach Anwendung, Szenario und Betriebsystem.
Die Passwortänderungen nehmen Sie bei goneo im Kundencenter vor. FTP- und Datenbankpasswörter können Sie auf der Seite „Webserver“ (gleichlautender Begriff in der Kundencenter-Navigation) ändern:
Passwörter für die einzelnen E-Mailpostfächer ändern Sie durch Klick auf den Menüpunkt „E-Mail“:
Hier klicken Sie dann auf das entsprechende Schraubenschlüssel-Symbol:
Unter „Bearbeiten“ können Sie dann ein neues Passwort eingeben.
Wichtig ist nur, die entsprechenden Änderungen dann auch in anderen Anwendungen vorzunehmen. Im Falle von E-Mailpostfächern ist dies eventuell Outlook oder Thurnderbird.
Sollten Sie WordPress oder Joomla oder ein anderes CMS benutzen, werden Sie feststellen, dass nach einer MySQL-Passwortänderung das System nicht mehr läuft und wahrscheinlich eine Fehlermeldung ausgibt. Sie müssen Sie auch die Datenbank-Verbindungsparameter in der jeweiligen Anwendung auf Ihr gewähltes Passwort ändern.
Jede Anwendung legt die Verbindungsdaten anders ab.
