(Update) Heartbleed: Was Fortinet-, Aruba-, Extreme Networks- und LifeSize-Anwender jetzt tun sollten

Verfasst am 23. Apr. 2014 von | Kategorie: Datenschutz, Sicherheit und Verschlüsselung

Weitere Informationen zur OpenSSL-Sicherheitslücke „Heartbleed“: Bei folgenden Security-, Networking- und Kommunikations-Lösungen aus dem Portfolio der VINTIN-Gruppe besteht aktuell Handlungsbedarf (keine Gewähr für Vollständigkeit):

Fortinet ((Update vom 16.04.2014))

Betroffene Produkte:

  • FortiGate (FortiOS) 5.0.0 up to 5.0.6
  • FortiAuthenticator 3.x
  • FortiMail 4.3.x and 5.x
  • FortiVoice models 200D, 200D-T and VM
  • FortiRecorder
  • FortiADC D-Series models 1500D, 2000D and 4000D
  • FortiADC E-Series 3.x
  • Coyote Point Equalizer GX / LX 10.x
  • AscenLink v7.0 and v7.1-B5599
  • FortiDDoS 4.x
  • FortiDNS

Fortinet weist darauf hin, dass keine weiteren Systeme von Fortinet betroffen sind.

Weitere Info von Fortinet dazu finden Sie in folgendem Dokument.

Firmware Update Fortinet:

https://support.fortinet.com

Workaround: Siehe Link Punkt 1.2

http://www.fortiguard.com/advisory/FG-IR-14-011/

 

Aruba Networks

  • ArubaOS 6.3.x, 6.4.x
  • ClearPass 6.1.x, 6.2.x, 6.3.x

Firmware Update Aruba Networks:

http://support.arubanetworks.com

  • ArubaOS 6.3.1.5
  • ArubaOS 6.4.0.3
  • ClearPass OpenSSL fix für Version 6.1.x, 6.2.x, 6.3.x

 

Extreme Networks ((Update 16.04.2014))

betroffene Produkte:

  • Extreme XOS 15.4.1 .x (Fix durch Update 15.4.2 sowie 15.5.1)
  • Black Diamond Series X8, 8900 and 8800 running EXOS version 15.4.1
  • Summit Series X770, X670, X480, X460, X440, X430, E4G-200 and E4G-400 running EXOS version 15.4.1
  • 64-bit (Ubuntu) hardware-based and virtual NetSight appliances; running versions 4.4, 5.0, 5.1, or 6.0
  • 64-bit (Ubuntu) hardware-based and virtual NAC & IA appliances; running versions 5.0, 5.1, or 6.0
  • 64-bit (Ubuntu) hardware-based and virtual Purview appliances; running version 6.0

Extreme Networks weist darauf hin, dass keine weiteren Systeme von Extreme Networks betroffen sind.
Ein Informationsschreiben von Extreme Networks dazu finden Sie hier.

Weitere Informationen

 

LifeSize ((Update 23.04.2014))

Laut Aussage von LifeSize ist LifeSize ClearSea™ Server von diesem Fehler nicht betroffen. Der Hersteller empfiehlt jedoch ein Update auf die Version 3.1.6, die den Desktop Client (v. 8.2.10) beinhaltet.

http://www.lifesize.com/en/support

Offizielles Schreiben von LifeSize

Bei den ClearSea™ Clients besteht, unabhängig von der Plattform, Handlungsbedarf:

image003

 

Zur Schließung der Sicherheitslücke sind grundsätzlich immer zwei Maßnahmen erforderlich:

  1. Einspielen eines Security-Updates um die weitere Offenlegung von Daten, (z. B. des Private Key) zu verhindern.
  2. Austausch des Private Key, da nicht festgestellt werden kann, ob dieser aufgrund der Schwachstelle bereits unberechtigt ausgelesen wurde.

Weitere Informationen zum Austausch des Private Key finden Sie hier:

http://www.heise.de/security/meldung/Heartbleed-SSL-GAU-Neue-Zertifikate-braucht-das-Land-2166639.html

Für weitere Fragen und Unterstützung  beim Einspielen der Updates steht Ihnen der Service-Desk von DANES unter 09721/67594-33 oder helpdesk@danes.de zur Verfügung.

 

Tags: , , , , ,

Unser Newsletter informiert Sie über neue Beiträge in unserem Blog.

Ihre E-Mailadresse:

Hinterlassen Sie einen Kommentar!


zwei × 4 =