Open-Source- und Linux-Rückblick für KW 15

Heartbleed - Digitale Katastrophe

Jürgen Donauer war als Systemadministrator zunächst für Informix und später IBM tätig. Dann verschlug es ihn in das Rechenzentrum von Media-Saturn. Dort kümmerte er sich mitunter um die Webserver, Datenbankanbindungen und den Online-Shop. Anschließend war er als Redakteur im Bereich Linux für TecChannel tätig. Derzeit arbeitet Jürgen Donauer als freier Autor für TECCHANNEL und COMPUTERWOCHE sowie als Privatdozent.
Die Woche steht ganz im Zeichen des Heartbleed-Bugs. Millionen Websites sind von der OpenSSL-Sicherheitslücke betroffen.

Die COMPUTERWOCHE zeigt die wichtigsten Informationen zu Open-Source und Linux in Kalenderwoche 15. Oracle Linux 7 Beta 1 ist verfügbar.

Heartbleed und die NSA

Security- und Kryptographie-Experte Bruce Schneier gibt dem Heartbleed-Fehler auf einer Skala von Ein bis Zehn eine Elf. Durch einen Bug in der TLS-Hearbeat-Erweiterung in der Open-Source-Verschlüsselungs-Software OpenSSL können Angreifer 64 KByte Arbeitsspeicher aus einem Server extrahieren. Das ist mehrere Male möglich und die Cyberkriminellen hinterlassen überhaupt keine Spuren. Was sich im Arbeitsspeicher befindet, ist somit verwundbar. Das sind private SSL-Schlüssel, Anwendernamen, Passwörter und so weiter.

Heartbleed betrifft mehrere Hunderttausende an Websites, VPN, Instant Messanger und so weiter. Welche Ausmaße die Geschichte noch hat, wenn man nicht-aktualisierbare Embedded-Systeme einbezieht, lässt sich derzeit schwer abschätzen.

Anwender sollten Ihre Passwörter ändern. Allerdings muss man erst sicherstellen, dass eine Seite nicht mehr weiter anfällig ist. Dazu gibt es mehrere Quelle: filippo.io,ssllabs.com,criticalwatch.com und lastpasst.com.

Schneier philosophiert außerdem, ob der Heartbleed-Bug absichtlich eingeschleust wurde. Er glaubt aber an einen "Unfall" oder schlicht einen Software-Bug.

Pikant ist, dass Bloomberg behauptet, die NSA hätte schon seit mehr als zwei Jahren von Heartbleed gewusst und den Fehler aktiv ausgenutzt. Die NSA hingegen dementiert das. Man nutze erstens selbst OpenSSL und stelle zweitens die Sicherheit der Nutzer in den Vordergrund. Hätte man davon gewusst, hätte man die OpenSSL-Community davon unterrichtet.

Betroffen sind OpenSSL 1.0.1 und 1.0.2-beta inklusive 1.0.1f und 1.0.2-beta1. Adaministratoren sollten möglichst schnell auch OpenSSL 1.0.1g aktualisieren. Ist das nicht möglich, kann man OpenSSL neu mit dem Parameter -DOPENSSL_NO_HEARTBEATS kompilieren.

Firmen wie Synology haben bereits einige Updates für die Diskstations ausgegeben (DSM 5.0). Weiterhin sollen DSM 4.2 und 4.3 mit Heartbleed-Fixes zur Verfügung gestellt werden.

Oracle Linux 7.0 Beta 1

Oracle hat zu Testzwecken eine erste Beta-Version von Oracle Linux 7.0 zur Verfügung gestellt. Es gibt wie üblich einen RHCK (Red Hat Compatible Kernel), der auf Linux-Kernel 3.10 basiert. Dies ist in der Beta-Version auch der Standard-Kernel. Der Unbreakable Enterprise Kernel Release 3 (UEK R3) ist ebenfalls an Bord und basiert auf Linux-Kernel 3.8. Sie finden weitere Informationen in der offiziellen Ankündigung. Interessierte können Oracle Linux 7.0 Beta 1 hier herunterladen.

Gparted Live 0.18.0-2

In erster Linie ist Gparted Live 0.18.0-2 ein Update, das auf Debian Sid von 10. April 2014 basiert. Den Linux-Kernel haben die Entwickler auf 3.13.7-1 aktualisiert.

Gparted Live ist eigentlich eine portable Live-Distribution, die für Partitionier-Aufgaben entwickelt wurde. Das Betriebssystem lässt sich aber auch für Datenrettungs-Aufgaben verwenden. Die neueste Version bringt unter anderem rsync, ping, screen und traceroute mit sich. Sie können die neueste Version für die Architekturen amd64, i686-pae und i486 bei sourceforge.net herunterladen