Am 7. April 2014 wurde eine Sicherheitslücke(CVE-2014-0160, auch bekannt als "Heartbleed") veröffentlicht, die es Angreifern ermöglichen könnte, sensible Informationen im Speicher eines Servers wie geheime Schlüssel und Passwörter einzusehen. Angesichts der Schwere dieses Problems hat Linode die notwendigen Schritte unternommen, um unsere Kunden und ihre Informationen vor möglichen Angriffen zu schützen.
Bin ich verwundbar?
Da Heartbleed bereits seit über einem Jahr in freier Wildbahn ist, könnten Server schon seit einiger Zeit gefährdet sein. Diese Schwachstelle setzt ein System Angreifern aus, die Informationen extrahieren können, ohne eine Spur böswilliger Aktivitäten zu hinterlassen.
Es wurde ein Tool veröffentlicht, mit dem Administratoren die Verwundbarkeit ihres Systems testen können. Wenn Ihre Website ein SSL-Zertifikat hat, gehen Sie auf die Heartbleed-Testseite, geben Sie die URL Ihrer Website ein und führen Sie den Verwundbarkeitstest durch. Der Quellcode dieses Tools ist zu finden auf GitHub. Bitte beachten Sie, dass ein positives Ergebnis nicht bedeutet, dass Ihr System nicht auf andere Weise verwundbar ist. Software, die gegen die alte Bibliothek kompiliert wurde, muss neu kompiliert werden.
Ist Linode verwundbar?
Sobald diese Sicherheitslücke bekannt wurde, hat unser Sicherheitsteam Upgrades auf unserer gesamten Infrastruktur durchgeführt, um den Fehler zu patchen. Aufgrund der Art des Problems sind wir dabei, eine vollständige Prüfung unserer Systeme abzuschließen und betroffene Zertifikate neu zu generieren.
Schützen Sie Ihr System
Wir empfehlen allen Linode-Kunden, Software-Updates auszuführen und Software, die mit anfälligen Bibliotheken kompiliert wurde, neu zu kompilieren. Zu diesem Zeitpunkt wurden alle unsere Paket-Spiegel mit Paketen aktualisiert, die Korrekturen für dieses Problem enthalten. Wenn Sie mehr über das Patchen Ihres Systems und das Neuausstellen von SSL-Zertifikaten wissen möchten, schauen Sie bitte unser Leitfaden in der Linode-Bibliothek.
Kommentare (10)
On the VMs, I assume that it is “impossible” for vulnerable tenant to affect his/her neighbor who is patched.
The question is _WAS_ linode infra vulnerable? Is there the chance that passwords have been stolen?
If you were using an older version of openssl (CentOS 5 or even CentOS 6.4 or older) then you were never vulnerable.
What linode servers were vulnerable, and over what time period?
Seems that all of your packages have not been updated, just specific packages for specific releases. If you’re not running one of those specific releases, you either have to upgrade your entire distribution or keep running vulnerable software.
@camper67 That is correct. In fact, this vulnerability cannot even leak data from other processes on the same machine.
Stephen, of course it was. Most of the internet was/is. It was introduced about 2 years ago, so potentially for that duration of time.
Theoretically for most of the internet, including Linode, it is possible some sensitive information was leaked however since the exploit/PoC was only released yesterday (and immediately patched) I think the chance of that is very small.
Hey guys
Can I assume we’ll see an update when the new certificates are deployed and the audit is complete? There’s no point changing passwords until then.
cheers.
J Irving,
Everything is good. You can check the site referenced in the blog post against the Linode URLs and we pass:
http://filippo.io/Heartbleed/#manager.linode.com
http://filippo.io/Heartbleed/#blog.linode.com
http://filippo.io/Heartbleed/#www.linode.com
Ricardo,
I don’t think you’ve answered J Irving’s question. Tests like filippo.io/Heartbleed can tell us whether a vulnerable OpenSSL implementation is present at the time of the test.
However, according to my understanding, the test can’t tell us whether the private key and certificate being used were issued *after* all services were updated to a non-vulnerable version.
For that, we need an explicit statement from Linode.
Cheers,
Matthew
Anyone that continues to see use the same passwords after this terrible event that took years for the hosting community to find out. Is not thinking straight. If you have ever your credit card into an Open SSL encrypted gateway for typed in anything on what he felt was historically safe. you were wrong.
Change your passwords ASAP
Matthew: The private key and certificate being used were created after all services were updated to non-vulnerable versions, and the old certificates have been revoked.