[CERT-daily] Tageszusammenfassung - Donnerstag 10-04-2014

Thu Apr 10 18:23:01 CEST 2014

=======================
= End-of-Shift report =
=======================

Timeframe:   Mittwoch 09-04-2014 18:00 − Donnerstag 10-04-2014 18:00
Handler:     Alexander Riepl
Co-Handler:  Stephan Richter


*** Hintergrund: Passwörter in Gefahr - was nun? ***
---------------------------------------------
Durch Heartbleed sind theoretisch schon wieder viele Millionen Passwörter in Gefahr. Sicherheitsexperten raten dazu, alle zu ändern. heise-Security-Chefredakteur Jürgen Schmidt schätzt das anders ein.
---------------------------------------------
http://www.heise.de/security/artikel/Passwoerter-in-Gefahr-was-nun-2167584.html


*** Heartbleed: 600.000 Server immer noch ungeschützt ***
---------------------------------------------
Die Sicherheitslücke Heartbleed zieht immer weitere Kreise. Möglicherweise wurde die Schwachstelle schon seit Monaten ausgenutzt.
---------------------------------------------
http://futurezone.at/digital-life/heartbleed-600-000-server-immer-noch-ungeschuetzt/60.135.616


*** Sicherheitslücke: Unternehmen können für Schäden durch Heartbleed haftbar sein ***
---------------------------------------------
Der Heartbleed-Bug gilt als eine der gravierendsten Sicherheitslücken aller Zeiten. Millionen SSL-gesicherte Websites waren betroffen, erste Missbrauchsfälle sind bekanntgeworden. Können Unternehmen und Admins, die den Fehler nicht behoben haben, für Schäden belangt werden? Golem.de hat nachgefragt. (Ruby, OpenSSL)
---------------------------------------------
http://www.golem.de/news/sicherheitsluecke-unternehmen-koennen-fuer-schaeden-durch-heartbleed-haftbar-sein-1404-105779-rss.html


*** Smartphones vom SSL-GAU (fast) nicht betroffen ***
---------------------------------------------
Keine der wichtigen Smartphone-Plattformen setzt in der aktuellen Version eine der für Heartbleed anfälligen OpenSSL-Bibliotheken ein. Lediglich Android-Nutzer mit einer mittelalten Version benötigen ein Update.
---------------------------------------------
http://www.heise.de/security/meldung/Smartphones-vom-SSL-GAU-fast-nicht-betroffen-2167793.html


*** OpenSSL-Bug: Spuren von Heartbleed schon im November 2013 ***
---------------------------------------------
Ein Systemadministrator hat angeblich in einem Logfile vom November letzten Jahres Exploit-Code für den Heartbleed-Bug gefunden. Die EFF ruft andere Administratoren zu Nachforschungen auf. (Technologie, Server)
---------------------------------------------
http://www.golem.de/news/openssl-bug-spuren-von-heartbleed-schon-im-november-2013-1404-105782-rss.html


*** Kriminalität: Der Untergrund ist digital ***
---------------------------------------------
Wie lässt sich gemeinsam gegen die Kriminalität 2.0 vorgehen? Die Antwort auf dem Kongress des Verbandes für Sicherheitstechnik: Verzahnung, engere Kooperationen, Zusammenarbeit & und Hoffen auf aktive Bürger und die Vorratsdatenspeicherung.
---------------------------------------------
http://www.heise.de/security/meldung/Kriminalitaet-Der-Untergrund-ist-digital-2167381.html


*** Windows XP: Wechselmuffel im Patch-Dilemma ***
---------------------------------------------
Das offizielle Ende des XP-Supports bedeutet nicht, dass keine Patches mehr im Netz auftauchen dürften. Für Nutzer könnte es aber gefährlich werden, solche Dateien zu installieren. (Microsoft, Spam)
---------------------------------------------
http://www.golem.de/news/windows-xp-wechselmuffel-im-patch-dilemma-1404-105772-rss.html


*** "Heartbleed"-Lücke - Chance nutzen ***
---------------------------------------------
Wie F-Secure in einem Blog-Post schreibt, sollten Administratoren die Aufräumarbeiten im Zuge der "Heartbleed"-Lücke auch gleich nutzen, um die entsprechenden Konfigurationen auf aktuellen Stand zu bringen. F-Secure empfiehlt dazu den OWASP Transport Layer Protection Cheat Sheet, wir schliessen uns dem an und ergänzen um das Better Crypto Hardening Paper (PDF) von bettercrypto.org.
---------------------------------------------
http://www.cert.at/services/blog/20140409164644-1090.html


*** JSA10623 - 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160) ***
---------------------------------------------
http://kb.juniper.net/index?page=content&id=JSA10623&actp=RSS


*** JSA10618 - 2014-04 Security Bulletin: Junos: Kernel panic processing high rate of crafted IGMP packets (CVE-2014-0614) ***
---------------------------------------------
http://kb.juniper.net/index?page=content&id=JSA10618&actp=RSS


*** OpenVPN Access Server OpenSSL TLS Heartbeat Information Disclosure Vulnerability ***
---------------------------------------------
https://secunia.com/advisories/57755


*** Multiple Vulnerabilities in Cisco ASA Software ***
---------------------------------------------
Cisco Adaptive Security Appliance (ASA) Software is affected by the following vulnerabilities:
    Cisco ASA ASDM Privilege Escalation Vulnerability
    Cisco ASA SSL VPN Privilege Escalation Vulnerability
    Cisco ASA SSL VPN Authentication Bypass Vulnerability
    Cisco ASA SIP Denial of Service Vulnerability
---------------------------------------------
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-asa