Archiv der Kategorie: Aktualisierungen

Heartbleed Sicherheitslücke in OpenSSL

Sie haben es höchstwahrscheinlich über die Medien mitbekommen: Am 07.04.2014 wurde eine äußert schwerwiegende Sicherheitslücke in OpenSSL veröffentlicht. Diese Sicherheitslücke mit dem Namen Heartbleed in der am weitesten verbreiteten SSL Protokoll-Umsetzung (OpenSSL) ermöglichte es Angreifern, Teile der Kommunikation eines Servers, welche über SSL verschlüsselt ist, auszulesen (also quasi abzuhören). OpenSSL findet fast überall Anwendung, beispielsweise bei Webseiten, die über HTTPS laufen oder auch bei verschlüsselten Mailverbindungen.

Die Auswirkungen sind somit gravierend und betreffen einen Großteil der Infrastruktur im Internet.

Die Entwickler von OpenSSL haben zur genannten Sicherheitslücke direkt ein Update veröffentlicht, welches dieses Problem schließt. Dieses Sicherheitsupdate wurde umgehend auf den betroffenen Servern unseres Unternehmens eingespielt. Somit waren alle Systeme direkt nach Veröffentlichung des Sicherheitsupdates wieder sicher. Heute haben wir außerdem noch das SSL-Zertifikat *.hot-chilli.net ausgetauscht, das für alle geschützten Hot-Chilli Webseiten sowie unsere Mailserver und die FTP-Server verwendet wurde.

Theoretisch wäre es denkbar, dass ein Angreifer, der zielgerichtet bestimmte Webseiten beobachtet hat, bereits jetzt Passwörter mitgelesen hat. Da es jedoch technisch nicht möglich ist, rückwirkend zu ermitteln, ob und wenn ja, welche Informationen ausgelesen wurden, empfehlen wir dringend, zur Sicherheit alle Ihre Passwörter auf unseren Systemen sowie anderen Systemen zu ändern.

Hierzu zählen auf Hot-Chilli:

  • E-Mail-Passwörter Ihrer Mailboxen
  • Passwörter für den Konfigurations-Zugang (WebConfig)
  • FTP-Passwörter
  • MySQL-Passwörter

Bitte nutzen Sie unsere webbasierten Zugänge, um Ihre Passwörter entsprechend zu ändern.

E-Mail-Passwörter Ihrer Mailboxen:

  • Über den Webmailer unter https://mail.hot-chilli.net
    (Passwort ändern über Einstellungen -> Konto -> Passwort)
  • Über WebConfig unter https://config.hot-chilli.net
    (Passwort ändern über E-Mail -> E-Mail Konto -> gewünschtes E-Mail Konto auswählen)
  • Wichtig: Nach der Änderung des Passworts müssen Sie dieses in Ihrem E-Mail Programm, ob auf dem Computer, Smartphone oder Tablet auch anpassen. Beachten Sie hierzu unsere Wiki-Seite.
    Am besten passen Sie, falls noch nicht geschehen, auch gleich die Ports für eingehende und ausgehende Mails sowie die Verschlüsselung auf unseren neue Mailserverkonfiguration an.

Passwörter für den Konfigurations-Zugang (WebConfig):

FTP-Passwörter:

  • Über WebConfig unter https://config.hot-chilli.net
    (Passwort ändern über Webseiten -> FTP Benutzer -> gewünschten FTP Benutzer auswählen)
  • Wichtig: Nach der Änderung des Passworts müssen Sie dieses in Ihrem FTP Programm auch anpassen.

MySQL-Passwörter:

  • Über WebConfig unter https://config.hot-chilli.net
    (Passwort ändern über Webseiten -> Datenbank Benutzer -> gewünschten Datenbank Benutzer auswählen)
  • Wichtig: Nach der Änderung des Passworts müssen Sie dieses überall, wo Sie den Datenbank Benutzer verwenden, auch anpassen. Beispielsweise in der Konfigurationsdatei einer datenbankbasierten Webanwendung wie WordPress oder TYPO3.

Generelle Hinweise zu sicheren Passwörtern:

  • Sie sollten Ihre Passwörter regelmäßig ändern, empfohlen wird dies alle drei Monate, mindestens jedoch einmal pro Jahr.
  • Sie sollten keinesfalls gleiche Passwörter für unterschiedliche Dienste verwenden (bspw. also gleiches Passwort für Facebook, E-Mail, Onlinebanking, eBay…).
    Viele unterschiedliche Passwörter können Sie mit Hilfsprogrammen wie KeePass oder 1Password bequem und v.a. sicher auf Computer, Smartphone und Tablet verwalten.
  • Einfache Passwörter wie Peter2014! sind absolut nicht zu empfehlen, verwenden Sie stattdessen etwas in der Art wie IdnwesP,o? („Ist das nicht wirklich ein sicheres Passwort, oder?„).

ownCloud Testinstallation auf 6.0.0a aktualisiert

Eben wurde unsere ownCloud Testinstallation auf 6.0.0a aktualisiert. Viele neue Features, ein (neuer) Blick könnte also lohnen. Hier nochmal der Link.

Dateiverschlüsselung ist nun aktiv, allerdings haben wir uns noch nicht eingelesen, wie und in welcher Art das sicher ist.

External Storage haben wir nun auch mal aktiviert, z.B. zu Dropbox (kleines Howto) oder auch Google Drive (noch ein kleines Howto).

Weitere Informationen zur Testinstallation hier.