[Christoph]

SSL-Gau: So testen Sie Programme und Online-Dienste

Zitat:

Die Veröffentlichung der folgenschweren Heartbleed-Lücke hat viele Dienste eiskalt erwischt – darunter Adobe, LastPass, Web.de und sogar VeriSign. Anwender können online überprüfen, ob die von ihnen genutzten Dienste bereits geschützt sind.
.....

Dienste checken

Mit zwei Prüfdiensten können Sie herausfinden, ob die von Ihnen genutzten Dienste noch verwundbar sind, nämlich mit filippo.io/Heartbleed und possible.lv/tools/hb. Darüber hinaus gibt es vom gleichen Autor das Go-Script Heartbleed, mit dem man diese Tests auch lokal durchführen kann. Das Perl-Skript check-ssl-heartbleed.pl kann sogar Mail-Server mit starttls testen. Update vom 9. April, 9:45 Uhr: Inzwischen gibt es auch Testmodule für Metasploit, Nmap, OpenVAS und Nessus sowie ein passendes xkcd.

Bei den meisten Linux-Distributionen werden die abgesicherten OpenSSL-Versionen inzwischen über die Paketmanager angeboten. Manche Programme wie etwa das Apache-SPDY-Modul installieren sich aber auch ihre eigenen Bibliotheken. Um das zu überprüfen, kann man sich die aktuell im System aktiven Bibliotheken unter Linux mit dem Befehl lsof | grep libssl anzeigen lassen. Dabei erscheint dann zum Beispiel etwas wie:

apache2 ... /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0
vmware ... /usr/lib/vmware/lib/libssl.so.0.9.8/libssl.so.0.9.8

Inzwischen musste Sophos einräumen, dass auch die UTM-Appliances (früher Astaro) für die Lücke anfällig sind. Ein Sicherheits-Patch ist noch in Arbeit. Es gibt aber auch eine gute Nachricht: OpenSSH ist dem ersten Anschein nach nicht betroffen. Es verwendet zwar die Basis-Krypto-Funktionen von OpenSSL, nutzt aber nicht die anfälligen TLS-Funktionen. (rei)

Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...e-2165995.html

Und: https://www.ssllabs.com/ssltest/