Hier finden Sie Informationen zu der OpenSSL Schwachstelle und Herstellerinformationen.
“Offizielle” Webseiten
http://heartbleed.com/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
Testseiten
http://filippo.io/Heartbleed/
https://www.ssllabs.com
Betroffene OpenSSL Versionen
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
WatchGuard
Betroffene Systeme, Versionen und Funktionen
Fireware XTM mit Version 11.8.X
Die Versionen 11.7.4 und kleiner sind nicht betroffen.
Mögliche Patches
11.8.3 Update 1
Nicht betroffene Systeme
WatchGuard Dimension
WatchGuard SSL Appliances
WatchGuard XCS
WatchGuard Management Server
Weitere Informationen
WatchguardSecurity Center: http://watchguardsecuritycenter.com/2014/04/09/11-8-3-update-1-now-available-to-fix-heartbleed-vulnerabilty-in-fireware-xtm-os/
Fortinet
Betroffene Systeme, Versionen und Funktionen
FortiGate (FortiOS) 5.0.0 up to 5.0.6
FortiAuthenticator 3.x
FortiMail 4.3.x and 5.x
FortiVoice models 200D, 200D-T and VM
FortiRecorder
FortiADC D-Series models 1500D, 2000D and 4000D
FortiADC E-Series 3.x
Coyote Point Equalizer GX / LX 10.x
AscenLink v7.0 and v7.1-B5599
FortiDDoS 4.x
FortiDNS
Mögliche Patches
FortiGate: Patch 5.0.7 bereits erschienen
FortiGate: Special Build für FortiAP Modelle mit AC-Standard bereits erschienen:
ftp://support.fortinet.com/FortiAP/v5.00/5.0/5.0.7/Wireless_controller/
FortiAuthenticator: Patch 3.0.2 bereits erschienen
Update FortiMail: Patch 4.3.7, 5.0.5 und 5.1.2. bereits erschienen
FortiVoice: Patch erscheint voraussichtlich vor dem 16. April.
FortiRecorder: Patch 1.4.1 ist erschienen
FortiADC-D Series: Patch erscheint voraussichtlich am 11. April.
FortiADC E-Series: Patch 3.2.3 bereits erschienen
Achtung, der FortiGate Feature Support Build #3468 für die Wireless 802.11ac Funktionalität enthält den OpenSSL Fix noch nicht. Das 802.11ac Feature wird in den regulären Patch 5.0.8 integriert und enthält ab dann auch den OpenSSL Patch.
Weitere Informationen
Fortinet Advisory: http://www.fortiguard.com/advisory/FG-IR-14-011/
Customer Support Bulletin CSB-140408-1 (Benötigt Support Login): https://support.fortinet.com/Information/Bulletin.aspx?section=b20
Fortinet hat weiterhin eine IPS-Signatur veröffentlicht, mit denen Heartbleed-Angriffe entdeckt und gestoppt werden können. Damit sind Server, welche von der Fortigate geschützt werden, ebenfalls vor dieser Schwachstelle geschützt:
VID-38307 – “OpenSSL.TLS.Heartbeat.Information.Disclosure”
SEPPmail
Betroffene Systeme, Versionen und Funktionen
Nur SEPPmail Systeme mit lokalem Proxy (unter System -> Advanced View -> GINA https Protocol – Enable local https proxy, redirect unknown requests to…).
Alle anderen Funktionen der SEPPmail sind von der OpenSSL Schwachstelle nicht betroffen.
Mögliche Patches
Version 6.5.5.2 bzw. 6.6.5.2 bereit erschienen.
PaloAlto
Betroffene Systeme, Versionen und Funktionen
PAN-OS ist nicht betroffen, da die verwendete OpenSSL Version die Schwachstelle nicht aufweist.
Weitere Informationen
PaloAltoNetworks hat 4 Signaturen für das Vulnerability Protection herausgebracht, mit denen Heartbleed-Angriffe entdeckt und gestoppt werden können. Damit sind Server, welche von der PAN-Firewall geschützt werden, ebenfalls vor dieser Schwachstelle geschützt:
ID 36416 – “OpenSSL TLS Heartbeat Information Disclosure Vulnerability – Heartbleed”
ID 36418 – “OpenSSL TLS Malformed Heartbeat Response Found – Heartbleed”
ID 40039 – “OpenSSL TLS Heartbeat Brute Force – Heartbleed”
ID 36417 – “OpenSSL TLS Heartbeat Found”
PAN Research Center: http://researchcenter.paloaltonetworks.com/2014/04/palo-alto-networks-addresses-heartbleed-vulnerability-cve-2014-0160
Vasco
Betroffene Systeme, Versionen und Funktionen
IDENTIKEY Authentication server 3.5 and Patch 3.5.1
IDENTIKEY Appliance 3.5.7.0, 3.5.7.1 and 3.5.7.2
IDENTIKEY Virtual Appliance 3.5.7.0, 3.5.7.1 and 3.5.7.2
IDENTIKEY Federation Server 1.3 and 1.4
MYDIGIPASS.COM
DIGIPASS Authentication for Windows Logon 1.2.0
LDAP Synchronization Tool 1.3.0
DIGIPASS Authentication for IIS 3.5.0, DIGIPASS Authentication for Citrix Web Interface 3.6.0, DIGIPASS Authentication for Outlook Web Access 3.5.0, DIGIPASS Authentication for Remote desktop Web Access 3.5.0, DIGIPASS Authentication for SBR 3.5.
Mögliche Patches
IDENTIKEY Federation Server 1.4.1, released on April 10th 2014
IDENTIKEY Federation Server 1.3.1, released on April 11th 2014
IDENTIKEY Authentication Server 3.5.2, released on April 18th 2014
IDENTIKEY Appliance hotfix + IDENTIKEY Appliance 3.5.7.3, released on April 18th 2014
IDENTIKEY Virtual Appliance hotfix + IDENTIKEY Virtual Appliance 3.5.7.3, released on April 18th 2014
Weitere Informationen
http://www.vasco.com/support/support/security/HeartBleed.aspx
Kaspersky
Betroffene Systeme, Versionen und Funktionen
Corporate products
- Kaspersky Small Office Security 2.0
- Kaspersky Small Office Security 3.0
- Kaspersky Security Center 10
- Kaspersky Security Center 10 MR1
Consumer products
- Kaspersky Internet Security 2013
- Kaspersky Internet Security 2014
- Kaspersky Internet Security for Mac
- Kaspersky PURE 3.0
Kaspersky Endpoint Security 8 und Kaspersky Endpoint Security 10 sind nicht von der Schachstelle betroffen.
Mögliche Patches
Kaspersky Security Center 10 und 10 MR1: Patch ab sofort erhältlich unter http://support.kaspersky.com/11062
A10 Networks
Betroffene Systeme, Versionen und Funktionen
A10 Networks hat bestätigt, dass A10 Thunder Series and AX Series nicht von der OpenSSL Schwachstelle betroffen sind.
Cryoserver
Betroffene Systeme, Versionen und Funktionen
Je nach OS und Versionsstand ist es möglich, das die verwundbaren OpenSSL Versionen verwendet werden.
Für weitere Abklärungen wenden Sie sich bitte an den Support, damit der Hersteller die nötigen Abklärungen machen und das System gegebenenfalls patchen kann.
Coyotepoint
Betroffene Systeme, Versionen und Funktionen
Equalizer Version 10
Equalizer Versionen 8.6 und kleiner sind nicht betroffen.
Mögliche Patches
Equalizer: Patch erscheint voraussichtlich am 14. April
Draytek
Betroffene Systeme, Versionen und Funktionen
Draytek hat bestätigt, dass zu keinem Zeitpunkt Draytek Produkte oder deren Webseite betroffen waren.
Weitere Informationen
http://www.draytek.com/index.php?option=com_k2&view=item&id=5454:is-vigor-router-affected-by-openssl-heartbleed-bug?&lang=en
Exinda
Betroffene Systeme, Versionen und Funktionen
Exinda hat bestätigt, dass zu keinem Zeitpunkt Exinda Produkte von der Schwachstelle betroffen waren.
Weitere Informationen
http://support.exinda.com/topic/heartbleed-bug-in-openssl-exinda-products-are-not-affected
BOLL Webseiten
Unser Partner Portal war zu keinem Zeitpunkt von der OpenSSL Schwachstelle betroffen, so dass kein Datenverlust stattfinden konnte.