main content
wiki/ news/ news-2014-04-10

Sicherheitsprobleme aufgrund der Heartbleed-Lücke

TL;DR: ändere ALLE deine Passwörter

Auch der CIP-Pool der Informatik war teilweise von der sogenannten Heartbleed-Lücke betroffen, das Rechenzentrum hat auch ausführlich berichtet. Betroffene Zertifikate der Server sind inzwischen ausgetauscht, die Software ist aktualisiert.

Für dich als Benutzer heisst das folgendes: Wenn du einen der folgenden Dienste des CIP-Pools seit 2011 benutzt hast, musst du deine verwendeten Passwörter neu setzen:

Redmine und Waffel verwenden eine separate Passwortverwaltung, diese Passworte musst du dort auf der jeweiligen Webseite neu setzen. Dein allgemeines CIP-Passwort kannst du per kpasswd neusetzen. Wenn du ein separates Dienstepasswort fuer die oben genannten Dienste VPN oder Mail gesetzt hast, so kannst du dieses per /local/bin/servicepasswd -s vpn oder /local/bin/servicepasswd -s mail neu setzen. Mittels /local/bin/servicepasswd -l kannst du prüfen ob du Dienstepasswörter gesetzt hast, falls du dir nicht sicher bist.

Im Zweifelsfall empfehlen wir dir, lieber alle deine Passworte neu zu setzen.

Für den OpenFAUpn-Dienst musst du ausserdem wegen des neuen Zertifikats eine neue Konfiguration und eine neue Zertifikatskette herunterladen und installieren. Dies solltest du tun, bevor du dein neugesetztes Passwort mit dem VPN verwendest.

Überall im Internet sind unzählige Dienste und Webseiten von dieser Sicherheitslücken betroffen. Falls du irgendwo mal Passwörter "wiederverwendet" hast (wovon wir schärfstens abraten), so musst du alle diese Passwörter jetzt neu setzen. Für die Zukunft solltest du auch darauf achten, keine Passwörter irgendwo wiederzuverwenden.

Sicherheitshalber könntest du die Gelegenheit nutzen einfach mal alle Passwörter neu und verschieden voneinander zu setzen.

-- Alexander Würstlein