Sicherheitsprobleme aufgrund der Heartbleed-Lücke
TL;DR: ändere ALLE deine Passwörter
Auch der CIP-Pool der Informatik war teilweise von der sogenannten Heartbleed-Lücke betroffen, das Rechenzentrum hat auch ausführlich berichtet. Betroffene Zertifikate der Server sind inzwischen ausgetauscht, die Software ist aktualisiert.
Für dich als Benutzer heisst das folgendes: Wenn du einen der folgenden Dienste des CIP-Pools seit 2011 benutzt hast, musst du deine verwendeten Passwörter neu setzen:
- Email via IMAP oder SMTP-AUTH (cippop/cipmail/faui03)
- OpenVPN-Dienst "OpenFAUpn"
- Redmine
- Waffel
Redmine und Waffel verwenden eine separate Passwortverwaltung, diese Passworte musst du
dort auf der jeweiligen Webseite neu setzen. Dein allgemeines CIP-Passwort kannst du per kpasswd
neusetzen.
Wenn du ein separates Dienstepasswort fuer die oben genannten Dienste VPN oder
Mail gesetzt hast, so kannst du dieses per /local/bin/servicepasswd -s vpn
oder /local/bin/servicepasswd -s mail
neu setzen. Mittels /local/bin/servicepasswd -l
kannst du prüfen ob du Dienstepasswörter gesetzt hast, falls du dir nicht sicher bist.
Im Zweifelsfall empfehlen wir dir, lieber alle deine Passworte neu zu setzen.
Für den OpenFAUpn-Dienst musst du ausserdem wegen des neuen Zertifikats eine neue
Konfiguration und eine neue
Zertifikatskette
herunterladen und installieren. Dies solltest du tun, bevor du dein neugesetztes Passwort
mit dem VPN verwendest.
Überall im Internet sind unzählige Dienste und Webseiten von dieser
Sicherheitslücken betroffen. Falls du irgendwo mal Passwörter "wiederverwendet"
hast (wovon wir schärfstens abraten), so musst du alle diese Passwörter jetzt
neu setzen. Für die Zukunft solltest du auch darauf achten, keine Passwörter
irgendwo wiederzuverwenden.
Sicherheitshalber könntest du die Gelegenheit nutzen einfach mal alle
Passwörter neu und verschieden voneinander zu setzen.
-- Alexander Würstlein