Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

OpenSSL-Bug und Atlassian-Produkte

Zu Beginn die­ser Woche wurde ein sicher­heits­kri­ti­scher Bug in der OpenSSL Implementierung bekannt. Heise.de beschreibt es als den “GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL“. Betroffen sind also ins­be­son­dere Server, die im Internet betrie­ben wer­den und eine SSL-Verschlüsselung nut­zen, spe­zi­ell mit der Version 1.0.1 von OpenSSL. Dieser Sicherheitshinweis betrifft damit auch Betreiber von Atlassian-Produkt-Installationen. Die Produkte selbst sind nach Aussage des Herstellers nicht betrof­fen.

Was müs­sen Betreiber von Atlassian-Produkt-Installationen beach­ten?

  1. Prüfen Sie, ob Sie Ihr Atlassian-Produkt mit SSL betrei­ben (was wir grund­sätz­lich emp­feh­len) und ob hier OpenSSL 1.0.1 bis 1.0.1f im Einsatz ist. Dies ist bspw. bei Einsatz von Apache httpd unter Linux und Windows der Fall. In die­sem Fall wird ein sofor­ti­ges Update auf Version 1.0.1g emp­foh­len. Die ältere und häu­fig ein­ge­setzte Version 0.9.8 gilt als sicher. Nähere Informationen fin­den Sie unter www.heartbleed.com.
  2. Tauschen Sie SSL-Zertifikate betrof­fe­ner Systeme aus. Einige Trustcenter bie­ten dafür die Möglichkeit, bestehende Zertifikate neu aus­zu­stel­len. Das alte Zertifikat sollte inva­li­diert wer­den.
  3. Fordern Sie Ihre Anwender nach Austausch des Zertifikats auf, ihr Passwort zurück­zu­set­zen. Für nicht an LDAP/AD-Systeme ange­bun­dene Systeme ist dies über den Aufruf der Passwort-Ändern-Funktion im Nutzer-Profil der jewei­li­gen Anwendung mög­lich.

Auf die­ser Seite fin­det sich ein Online-Test, mit dem Sie prü­fen kön­nen, ob Ihr System betrof­fen ist.

Related Posts

Pin It on Pinterest