Ein heute auf heise.de veröffentlichtes Sicherheitsproblem in der Systemlibary von OpenSSL versetzt das Internet aktuell in Aufruhe. Im laufe des Tages haben wir bereits alle Serversysteme unserer Managed-Kunden sowie hauseigene Webserver / Datenbankserver aktualisiert. Dies betrifft vor allem die Debian 7 Systeme, da dort bereits die neuere Version 1.0.1 von OpenSSL verwendet wird. Ältere OpenSSL Versionen sind von diesem Bug nicht betroffen.
Sophos UTM Firewall Gateways
Die von uns eingesetzten Sophos UTM Gateways haben bislang noch kein Update erfahren. Dieses wird aktuell durch Sophos mit Hochdruck erstellt. Bis das Update allerdings zur Verfügung steht haben wir unser Netzwerk so umstrukturiert, dass die SSL Verbindungen nicht mehr über die Web Application Security Firewall gemanaged werden. Leider ist diese Umstellung bei unserer Rootserververwaltung nicht möglich gewesen, daher haben wir SSL in diesem Fall vollständig deaktiviert. Wir bitten Sie daher bis morgen nur die allernötigsten Arbeiten über unsere Rootserver Verwaltungsoberfläche zu tätigen.
Unsere administrativen Tätigkeiten in den Kundenbereichen und Serververwaltungsbereichen erfolgen nach wie vor über VPN Schnittstellen, die nicht mit SSL arbeiten.
Sobald uns das Update durch Sophos vorliegt werden wir Sie über unseren Blog informieren und unser Netzwerk wieder umstellen.
Sollten Sie weitere Fragen haben, stehen wir Ihnen gerne zur Verfügung.
Update – 09.04.2014 – 17:00 Uhr
Sophos hat das UTM Update veröffentlicht. Wir updaten momentan alle Systeme und geben unsere SSL Infrastruktur wieder frei.