Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Mittwoch, 9. April 2014, 15:43

Der OpenSSL-Heartbleed-Bug und unsere Kunden

Da der Bug ernstzunehmen ist, haben wir heute das Gros der IP-Adressen innerhalb unseres Rechenzentrums automatisiert gescannt, insbesondere
  • https
  • imaps
  • pop3s
  • smtp mit STARTTLS
  • submission mit STARTTLS
  • imap mit STARTTLS
  • pop3 mit STARTTLS
und betroffene Kunden per E-Mail gewarnt.

Bei den meisten, die sich schon zurückgemeldet haben, fehlte ein Neustart des betroffenen Dienstes.

Auf jeden Fall haben sich alle über den kleinen Service von uns gefreut.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Andreas G.

QUOTE:
Auf jeden Fall haben sich alle über den kleinen Service von uns gefreut.


Da habt ihr aber freundliche Kunden. Wir haben das bei uns auch gemacht und dann hat und ein Kunde glatt angefahren das sowas illegal wäre und was wir uns erlauben würden usw.

Manuel Schmitt (manitu)

Ich habe - in der Tat - auch auf solch eine Antwort "gewartet".

Allerdings dürftet Ihr vermutlich genügend Argumente - wie wir auch - haben, um das zu entkräften.

Angefangen von technischen bis juristischen, z.B. dass die Services ja öffentlich sind, und warum sollten wir nicht dasselbe machen können, was andere tun, zum anderen könnte man das glatt als Geschäftsführung ohne Auftrag werten!

Denis

Als GoA würde ja erst gelten, würde man bspw. eine vorhandene Sicherheitslücke ausnutzen um ebensolche zu Beheben, bzw. auch würde manitu einen möglichen Konsolen-Zugriff per Hands-On hierzu verwenden.

Der Scan an sich ist zwar (was ich für ziemlich kaputt halte!) nach deutschem Recht durchaus bedenklich, immerhin KÖNNTE dies ja einen Anfangsverdacht eines Kompromitierungsversuches begründen; vgl. §§ 202c, 303b StGB (Hackerparagraph, Computersabotage).

Andernfalls kann manitu dieses durch das offenkundig hohe Risiko leicht entkräften, schließlich handelte man hier in eigenem Interesse zur begründeten Abwehr einer drohenden Gefahr (der eigenen Sicherheit des Netzwerkes aufgrung ggf. kompromitierter Systeme).

Wir haben uns übrigens gefreut, das Updaten stand zwar bereits auf der Todo-Liste, hat uns aber auch gezeigt, dass sich manitu für seine Kunden interessiert. Ein schöner Service, vielen Dank!
(von anderen Hostern kam übrigens nichts...)

fh

Amazon hat offensichtlich damit begonnen, auch solche Warn-Mails für alle EC2-Maschinen zu schicken.

Josh

Amazon hat das aber bei uns zumindest für ALLE Maschinen geschickt!
Auch für nur aus dem eigenen Netz erreichbare PostrgeSQL Server die noch nie SSL gesehen haben...

hoschi

Webhosting Kunden:
Was ist den mit den Serverzertifikaten fuer die Webhosting-Kunden bei Emailzugriff?

Manuel Schmitt (manitu)

Waren nicht betroffen, da die von uns beim Webhosting eingesetzte OpenSSL-Version nicht betroffen war.

hoschi

Danke! Dann bin ich beruhigt.

--paranoia_level;

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen