Das
Rechenzentrum

Login |
 
 

Currently the posts are filtered by: Sicherheit
Reset this filter to see all posts.

Sicherheitshinweis: SSL 3.0 gefährdet durch Poodle (CVE-2014-3566)

Sicherheitshinweis: SSL 3.0 gefährdet durch Poodle (CVE-2014-3566)

Vor wenigen Tagen wurde bei SSL 3.0 eine Poodle (Padding Oracle OnDowngraded Legacy) getaufte Schwachstelle veröffentlicht (CVE-2014-3566):

Sie wird als weniger schwerwiegend eingestuft als Heartbleed und Shellshock. Dennoch ist es eine ernste Lücke, da man das Aushandeln jeder mit TLS verschlüsselten Verbindung solange stören kann, bis SSL 3.0 verwendet wird, insofern es von Client und Server unterstützt wird.

1. Technische Details

Der Angriff erfolgt über Füllbytes bei Verwendung von symmetrischen Blockchiffren etwa im CBC-Modus, wie er unter anderem auch bei SSL/TLS zum Einsatz kommt. Worin liegt das Problem? Wir erinnern uns an Shellshock: Bei SSL 3.0 kann können die Fülldaten des Paddings beliebigen Inhalt haben. Schleust man hier bestimmten JavaScript-Code ein, kann man einen Man-In-The-Middle-Angriff durchführen und den Klartext der Verbindung abfangen.

2. Lösungsmöglichkeiten

Der von den Leuten bei Google vorgeschlagene Weg ist, client- wie serverseitig "TLS Fallback Signaling Cipher Suite Value (SCSV)" zu unterstützen, um einen möglichen Protokolldowngrade beim Verhandeln der Verbindung zu verhindern. SCSV ist aber noch nicht sehr verbreitet.

Alternativ kann man client- und/oder serverseitig einfach SSL 3.0 deaktivieren, was unter anderem auch von Red Hat empfohlen wird. Das löst auch das Problem, zumindest vorerst. Da TLS 1.0 sehr ähnlich zu SSL 3.0 ist, kann es durchaus sein, dass man damit lediglich etwas Zeit gewinnt, weil auch dort bereits nach einer ähnlichen Schwäche gesucht wird. Die wahrscheinlich sicherste Lösung wäre, komplett auf CBC zu verzichten und nur noch den "Galois/Counter Mode (GCM)" zu verwenden, was aber nur mit TLS 1.2 möglich ist. Das schließt derzeit doch noch zahlreiche Clients aus. Daher ist die einfachste Lösung derzeit tatsächlich, SSL 3.0 (und ggf. natürlich auch SSL 2.0) zu deaktivieren.

Serverseitig geht das beispielsweise wie folgt:

  • GNUTLS: "GnuTLSPriorities: NORMAL:!VERS-SSL3.0"
  • OPENSSSL "SSLProtocol all -SSLv2 -SSLv3"

Clientseitig geht das bei Chrome und Firefox wie folgt:

  • FIREFOX: "security.tls.version.min = 1" (about:config)
  • CHROME: "-ssl-version-min=tls1" (Startparameter)

3. Weitere Informationen

14.10.2014
08:03

Sicherheitslücke Bash: Einspielen von Updates notwendig

Sicherheitslücke Bash: Einspielen von Updates notwendig

Am 24. September 2014 wurde eine gravierende Sicherheitslücke
(CVE-2014-6271) in der UNIX-Shell Bash bekannt, die zu Recht auch
"Shellshock" genannt wird. Das Schadenspotential hat das NIST mit 10,
dem Maximum, bewertet. Betroffen sind alle Versionen der Bash bis zu
Version 4.3 und Patch-ID 43-024.

1. TECHNISCHE DETAILS

Der Shellschock erlaubt Angreifern das Ausführen beliebigen Codes über
Rechtegrenzen hinweg. Die Bash erlaubt das Vererben von Funktionen über
Umgebungsvariablen. Das Problem besteht darin, dass dabei nicht nur die
Funktionsdefinition selbst interpretiert wird, sondern auch beliebiger
nachfolgender Code. Das folgende Beispiel

env foo='() { echo "System verwundbar"; }' bash -c foo

verdeutlicht das Problem. Während ein repariertes System mit "bash: foo:
Kommando nicht gefunden." antwortet, wird sonst der Code nach der
Funktion ausgeführt und "System verwundbar" ausgegeben.

2. BETROFFENE SYSTEME

Betroffen sind alle UNIX- oder Linux-Systeme, welche die Bash einsetzen,
inklusive etwa auch Mac OS X und zahlreiche eingebettete Systeme.

Insofern zahlreiche Programme und Dienste auf die Bash zurückgreifen,
können diese ebenfalls verwundbar sein. Folgende Gefährdungen sind
bislang bekannt und werden bereits u.a. durch Botnetze ausgenutzt:

- Apache Webserver (über CGI Skripte, welche auf die Bash zurückgreifen)
- OpenSSH Server (Umgehen eingeschränkter Logins möglich)
- CUPS Server (mit manipulierten Dokumente sind Filter ausnutzbar)
- DHCP Client (beliebiger Code durch Server auf Client ausführbar)
- Postfix Server (ausnutzbar bei Filtern mit Umgebungsvariablen)
- OpenVPN Server (Client schleust Code über Umgebungsvariablen ein)

Vermutet werden Angriffsszenarios außerdem auch bei Ejabberd, Exim,
Mailman, MySQL, NFS, Bind9, Procmail und Produkten von Cisco.

Besonders gefährdet sind Systeme, auf denen die Bash als Standardshell
verwendet wird, d.h. etwa "/bin/sh" verlinkt auf "/bin/bash". Das
betrifft im Server-Bereich unter anderem:

- SUSE Linux Enterprise Server (SLES) und openSUSE
- Red Hat Enterprise Server (RHEL) und CentOS

Debian und Ubuntu verwenden als Standard-Shell zwar die Dash, aber als
Login-Shell meist die Bash, d.h. auch diese sind betroffen.

3. MASSNAHMEN

Falls immer noch nicht geschehen, spielen sie umgehend die in Ihrem
Verantwortungsbereich befindlichen Systeme verfügbaren
Sicherheitsupdates ein. Damit lässt sich die
Sicherheitslücke in den allermeisten Fällen schließen.

Falls sie aber etwa wider besseren Wissens ein nicht mehr unterstütztes
System verwenden, haben sie zwei Möglichkeiten: Entweder sie patchen die
Bash von Hand oder sie stellen als Workaround sicher, dass anstatt der
Bash eine andere, nicht verwundbare, Shell verwendet wird.

4. WEITERE HINWEISE

Allgemein empfehlen wir dringend, täglich die entsprechenden
Sicherheitshinweise für ihr System zu lesen, um entsprechend zeitnah
reagieren zu können. Red Hat stellte etwa innerhalb von nur 32 Stunden
einen ersten Patch für den Shellshock bereit.

Relevante CVEs des NIST zum Shellshock:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6277
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6278
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7186

Informationen von Red Hat und dem DFN-CERT:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1258/
https://access.redhat.com/articles/1200223

Eine Übersicht über die Ereignisse gibt David Wheeler:
www.dwheeler.com/essays/shellshock.html

5. SUPPORT

Bei weiteren Fragen wenden sie sich bitte per E-Mail an den Support der
Universität Konstanz, erreichbar unter support@uni-konstanz.de

02.10.2014
06:30

Wartung am 02.10.2014 ist beendet

Am 02.10.2014 fanden folgende Wartungsarbeiten statt. 

von 07:00 Uhr bis 09:00 Uhr konnten folgende Dienste von kurzzeitigen Ausfällen betroffen sein:

  • Depot-Server
  • CMS- und Web-Server
  • Chat (Jabber/XMPP)
  • E-Mail (SMTP-Server)
  • Webmail/SOGo
  • E-Mail-Listserver/Mailman
  • zentraler Authentifizierungsdienst (LDAP)


MS- und Web-Server

Auf den Servern wird das Betriebsystem aktualisiert. Dabei kann es zu kurzen Unterbrechungen im Bereich von 5 Minuten kommen. Während dieser Zeit sind einzelne Web-Seiten nicht zu erreichen und sollten auch nicht  verändert werden.

Depot-Server

Auf dem Server wird das Betriebsystem aktualisiert. Dabei kann es zu kurzen Unterbrechungen im Bereich von 5 Minuten kommen. Während dieser Zeit  können keine Dateien auf den Depot-Server geladen bzw. vom Depot-Server geholt werden.

Chat (Jabber/XMPP)

Auf dem Server wird das Betriebsystem aktualisiert. Dabei kann es zu kurzen Unterbrechungen im Bereich von wenigen Minuten kommen.

E-Mail (SMTP-Server)

Auf einem der SMTP-Server (Postein- und -ausgang) muss ein Netzwerkinterface umgestellt werden. Deshalb muss diese Maschine neu gestartet werden. Während des Neustarts können keine E-Mails mit E-Mail-Klienten aus dem Campus-Netz verschickt werden. Die Mail-Zustellung kann dadurch verzögert sein. Es gehen keine E-Mails verloren.

Auf dem Posteingangsserver für externe E-Mail-Klienten wird ein Kernelupdate eingespielt. Anschließend ist ein Neustart erforderlich. Deshalb kommt es zu einem kurzen Ausfall. Während des Neustartes können von außerhalb des Campus keine E-Mails mit E-Mail-Klienten verschickt werden.

Webmail/SOGo

Auf den Webmailservern müssen Kernelupdates eingespielt werden. Danach ist ein Neustart erforderlich. Deshalb kommt es zu einem kurzen Ausfall.

E-Mail-Listserver/Mailman

Auf dem E-Mail-Listserver muss ein Kernelupdate eingespielt werden. Danach ist ein Neustart erforderlich. Während des Neustartes ist die zugehörige Weboberfläche nicht erreichbar. Es kann zu einer Verzögerung bei der E-Mail-Verteilung kommen. Es gehen keine E-Mails verloren.

Zentraler Authentifizierungsdienst

Auf  den Servern wird das Serverzertifikat aktualisiert. Dabei steht der Dienst für ca. 2 Minuten nicht zur Verfügung und das Anmelden an den angebundenen Diensten (siehe  http://www.rz.uni-konstanz.de/dienste/zentraler-authentifizierungsdienst/ ) ist zeitweise nicht möglich.


von 12:00 Uhr bis 13:00 Uhr können folgende Dienste von kurzzeitigen Ausfällen betroffen sein:

  • Benutzer- und E-Mail-Verwaltung (Usermanager)
  • Fileserver-Gruppenverwaltung (Fileserver Group Manager)
  • Zugang zu den landesweit angebotenen Hochschuldiensten (Shibboleth)
  • Zugang zu den Online-Recherchediensten der Universitätsbibliothek (Shibboleth)

Benutzer- und E-Mail-Verwaltung (Usermanager)

Auf den Servern dieser Anwendung wird das Betriebssystem aktualisiert. Dabei steht der Dienst für ca. 5 Minuten nicht zur Verfügung. Betroffen von diesem kurzzeitigen Ausfall sind Mitglieder der Universität Konstanz, welche ihre persönlichen Benutzer- und E-Mail-Einstellungen ändern wollen.

Fileserver-Gruppenverwaltung (Fileserver Group Manager)

Auf den Servern dieser Anwendung wird das Betriebsystem aktualisiert. Dabei steht der Dienst für ca. 5 Minuten nicht zur Verfügung. Betroffen von diesem kurzzeitigen Ausfall sind Mitglieder der Universität  Konstanz, welche mindestens eine Fileservergruppe hauptverantwortlich  oder stellvertretend verwalten.

Zugang zu den Online-Recherchediensten der Universitätsbibliothek (Shibboleth)

Auf den Servern dieser Anwendung wird das Betriebssystem aktualisiert.Dabei steht der Dienst für ca. 5 Minuten nicht zur  Verfügung. Betroffen von diesem kurzzeitigen Ausfall sind Mitglieder der Universität Konstanz, welche auf die von der Universitätsbibliothek angebotenen Online-Recherchedienste von zuhause aus zugreifen wollen. Benutzer der  Recherchedienste erhalten einen alternativen Zugang über  jeden Rechner im Campusnetz oder über einen VPN-Zugang ihrer Rechner zum Campusnetz.

Zugang zu den landesweit angebotenden Hochschuldiensten (Shibboleth)

Auf den Servern dieser Anwendung wird das Betriebssystem aktualisiert. Dabei steht der Dienst für ca. 5 Minuten nicht zur Verfügung. Betroffen von diesem kurzzeitigen Ausfall sind Mitglieder und Gäste der Universität Konstanz, welche auf die landesweit angebotenden Hochschuldienste von zuhause aus zugreifen wollen. Benutzer der Recherchedienste erhalten einen alternativen Zugang über jeden Rechner im Campusnetz oder über einen VPN-Zugang ihrer Rechner zum Campusnetz.

 

31.07.2014
10:45

Sicherheitswarnung zur Android Nutzung

Dringende Empfehlung zu Android-Geräten (Smartphones, Tablets): Bitte nutzen Sie aus Sicherheitsgründen
n i c h t WLAN "eduroam" und "eduroam-HiSpeed".


Auf Android-Geräten bestehen Probleme mit der Verbindungssicherheit im WLAN. Deshalb müssen wir derzeit von der Nutzung der WLANs "eduroam" und "eduroam-HiSpeed" mit Android-Geräten abraten.

Was sollte ich tun?

  • Löschen Sie Ihre aktuelle eduroam & eduroam-HiSpeed Konfiguration von Ihrem Android-Gerät.
  • Führen Sie keine Neukonfiguration für eduroam & eduroam-HiSpeed auf einem Android-Gerät durch.
  • Betreiber bzw. Administratoren kritischer Dienste (Systeme, die sensible Daten enthalten) müssen ihre Nutzer darauf aufmerksam machen, keine Android-Geräte für den WLAN-Zugriff zu nutzen.
  • Nutzen Sie stattdessen die Datenverbindung Ihres Mobilfunkproviders.


Was passiert, wenn ich die Empfehlung ignoriere?

Erfolgt ein entsprechendes Angriffszenario, kann ein potentieller Angreifer Ihre Logindaten (Benutzername, Passwort) abgreifen, ein sogenannter Identitätsdiebstahl. Mit diesen Daten kann der Angreifer andere Universitätsdienste (z.B. E-Mail, Studis. etc.) missbräuchlich nutzen.


Hintergrund: Was passiert genau?

Bei der Anmeldung zum eduroam & eduroam-HiSpeed werden die persönlichen Zugangsdaten zur Überprüfung an unsere Server geschickt. In unseren Anleitungen ist die Konfiguration so vorgeschrieben, dass diese Serveradresse fest eingetragen wird. Trägt man diesen Server nicht ein, kann ein Angreifer ein nicht autorisiertes WLAN mit demselben Namen aufbauen und damit die persönlichen Zugangsdaten abfischen. Leider bietet Android keine Möglichkeit eine Serveradresse festzulegen. Aus diesem Grund würden Android-Geräte die Zugangsdaten an jeden Server schicken, der ein entsprechendes WLAN anbietet. Die Anmeldedaten würden dann an die WLAN-Umgebung des Angreifers gesendet und gelängen in seinen Besitz: damit wäre ein Identitätsdiebstahl erfolgt. Die Wahrscheinlichkeit für ein solches Angriffsszenario ist hoch! Der Nutzer hätte keine Möglichkeit den Identitätsdiebstahl zu bemerken, der erst später durch eine missbräuchliche Nutzung der Universitätsdienste auffällt.


Gibt es eine Perspektive?

Darauf haben wir nur bedingt Einfluss. Aktuell liegen uns keine Informationen darüber vor, ob die Entwickler von Android die entsprechende Funktionalität in ihr Betriebssystem einbauen werden. Andere Zugangswege zum WLAN der Universität Konstanz lassen sich derzeit nicht umsetzen.


Sind auch andere Systeme (Windows, iOS, Linux, etc..) davon betroffen?

Nach derzeitigem Kenntnisstand nicht, sofern diese nach unseren Anleitungen konfiguriert wurden und die entsprechende Server-Adresse (radius.rz.uni-konstanz.de) fest eingetragen ist.
Hier finden Sie die Konfigurationsanleitungen zu den gängigen Systemen.

07.07.2014
11:02

Informationen zur E-Mail-Umstellung

Thunderbird und Outlook Einstellungen

Sollte es durch die Umstellung auf verschlüsselten Transport zu Problemen beim Empfangen oder Senden von E-Mails kommen, überprüfen Sie die Einstellungen.

Detaillierte Installationsanleitungen zu den E-Mail-Programmen wie Apple Mail, Evolution, Thunderbird, Outlook, Android 4 finden Sie hier.

Hier die wichtigsten Einstellungen für Thunderbird und Outlook:

Thunderbird

Menu Extras -> Konten-Einstellungen -> "Server-Einstellungen": Hier muss bei Verbindungssicherheit "STARTTLS" und "Passwort, normal "eingestellt sein,

und bei Postausgang-Server (SMTP) muss auch unter Verbindungssicherheit "STARTTLS" und bei Authentifizierungsmethode "Passwort, normal" eingestellt sein!

Thunderbird Server-Einstellungen 

 

Thunderbird SMTP-Eiinstellungen

 

 

Outlook

Menu "Datei" -> "Kontoeinstellungen" -> "Konto ändern" -> "Weitere Einstellungen" -> Erweitert: Hier muss Posteingangsserver (IMAP) Verbindungstyp SSL oder TLS eingestellt sein,

und bei Postausgangsserver (SMTP) muss TLS eingestellt sein!

 Outlook Server-Einstellungen

 

Unter "Postausgangsserver" darf der Haken bei "Gesicherte Kennwortauthentifizierung (SPA) erforderlich" NICHT gesetzt sein!

Outlook E-Mail Einstellungen

 

07.07.2014
09:41

Sophos für Mac

Sophos für Mac

Für Mac OS X gibt es eine neue Version von Sophos (Version 9). Diese Version steht ab sofort bei uns auf der Webseite zur Verfügung.

www.rz.uni-konstanz.de/angebote/antivirus/download/

Die vorherige Version 8 wird leider nicht mehr unterstützt, daher bitten wir Sie die neue Version zu installieren.

Leider wird die Version 9 nicht automatisch installiert, darum müssen Sie dies manuell machen.

02.07.2014
10:07

Problem mit Sophos für MAC

Problem mit Sophos für MAC

Seit der letzten Woche gibt es leider für die Version 8 von Sophos für MAC keine Updates mehr. Eigentlich hätte die Version automatisch ein Upgrade auf die Version 9 machen sollen, dies hat aber leider bei den meisten Nutzern nicht funktioniert.

 

Da es zur Zeit bei der Erstellung eines neuen Installationspaketes noch Probleme gibt, die wir in Zusammenarbeit mit der Firma Sophos bereits versuchen zu lösen, können wir hier leider noch kein eigenes neues Paket zur Verfügung stellen.

 

Nutzer der Version 8 können folgende Programmversion installieren, damit sollte alles wieder wie gewohnt  laufen:

 Sophos 9 für MAC

 

Für Neuinstallationen wenden sie sich bitte an den MAC-Support (Mo.-Mi. 14-16 Uhr in V517, Tel. +49 7531 88 4888, E-Mail: mac-support(at)uni-konstanz.de).

Bei weiteren Fragen steht ihnen gerne unser Support zur Verfügung.

20.06.2014
10:00

Umstellungen am zentralen E-Mail-System am 2014-07-03

Umsetzung einer Sicherheitsmaßnahme beim zentralen E-Mail-Dienst

Bei Problemen und Fragen richten Sie sich bitte an den KIM-Support: support(at)uni-konstanz.de
Am Juli-Wartungsdonnerstag 2014-07-03 wird der Zugriff auf IMAP, POP und SMTP einheitlich zwingend
auf verschlüsselten Transport und Anmeldung mit PLAIN oder LOGIN Passwörter umgestellt. Bisher ist
nur von außerhalb des Campus bei Einlieferung von E-Mails durch E-Mail-Klienten (z.B. Thunderbird, Outlook, Apple Mail) per SMTP, sowie beim Zugriff auf SOGo die Transportverschlüsselung vorgeschrieben.

Von innerhalb des Campus kann bisher jeder E-Mails ohne Transportverschlüsselung und/oder ohne Anmeldung per SMTP versenden (== beschränktes offenes Relay). Auch ist der E-Mail-Abruf per IMAP und POP ohne Transportverschlüsselung möglich, und damit auch das Abhören des Passwortes und aller Mails des betreffenden Benutzers.

Dies betrifft nur die E-Mail-Klientbenutzer, die keine Transportverschlüsselung für IMAP und SMTP und/oder keine Authentifizierung oder Authentifizierung mit CRAM-MD5 oder Digest-MD5 eingerichtet haben. Diese müssen Ihre Klienteinstellungen ändern.
Tun Sie das nicht bis zum obigen Termin, können Sie danach entweder keine E-Mails mehr abrufen, oder keine E-Mails mehr versenden.

Der Zugriff per Webmail/SOGo ist davon nicht betroffen.

Falls Sie Server betreiben, die E-Mails versenden aber keine verschlüsselte Übertragung ermöglichen, wenden Sie sich bitte an den Support.

20.06.2014
08:47

Außerordentliche Wartung E-Mail-System 2014-06-20 beendet

Am Freitag 2014-06-20 wird es eine außerordentliche Wartung des E-Mail-Systems zwischen 08:00 Uhr und 09:00 Uhr geben. Anlass ist ein dringendes Sicherheitsupdate.

In diesem Zeitraum wird es zu einem kurzen Ausfall des E-Mail-Systems kommen. Während des Ausfalls kann weder auf die Postfächer noch auf Webmail/SOGo zugegriffen werden. Die Zustellung von E-Mails wird höchstens verzögert, es gehen keine E-Mails verloren.

25.04.2014
14:32

Schwerwiegender Fehler erfordert Änderung Ihres Passworts / Major fault requires change of your password [UPDATE]

Sehr geehrte Damen und Herren, liebe Kolleginnen und Kollegen.

Wie Sie schon der aktuellen Presse entnommen haben, ist ein schwerwiegender Fehler in einem Programm zur Verschlüsselung von Internetverbindungen bekannt geworden. [1] [2]. Dieser "OpenSSL Heartbleed" genannte Fehler versetzt einen Angreifer in die Lage die eigentlich verschlüsselte Verbindung zwischen Ihrem Rechner und dem genutzten Webdienst abzuhören. Von diesem Fehler ist neben großen Internet-Diensten wie Facebook, Google oder Yahoo auch die Universität Konstanz betroffen. Auch wir sind Opfer, da wir das bisher als sicher geltende Programm bei uns eingesetzt haben. Die notwendigen Updates zur Behebung des Fehlers haben wir umgehend installiert.

Trotzdem können wir nicht garantieren, dass an der Universität Konstanz als Konsequenz aus dem Fehle rkeine Daten abgegriffen wurden. Da es im Nachhinein technisch unmöglich ist festzustellen, ob und welche Daten davon betroffen sind, müssen wir (Stand heute) davon ausgehen, dass sämtliche über die betroffenen Server versendeten Daten potentiell gefährdet sind. Dies schließt insbesondere auch alle Benutzerkonten und Passwörter ein.

Aus diesem Grund hat sich das Kommunikations-, Informations, Medienzentrum (KIM) in Übereinstimmung mit der Universitätsleitung dazu entschlossen, sämtliche Benutzerinnen und Benutzer zu einer Änderung des Passwortes aufzufordern.

Bitte ändern Sie deshalb umgehend Ihr Passwort über die Webseite der Universität Konstanz.


UPDATE:

Sollten Sie Ihr Passwort bis Dienstag 29.04.2014, 23:59 Uhr nicht ändern, werden wir das Passwort automatisiert zurücksetzen. Das Zurücksetzen der Passwörter erfolgt gestaffelt zwischen dem 30.04. und 05.05.2014. Sie müssen dann in der KIM-Beratung bzw.  Bibliotheksinfomationen in V517, N6 oder J401 (09:00 Uhr bis 17:00 Uhr)  vorbei kommen, um sich ein neues Passwort geben zu lassen.


Sofern Sie die Kombination aus Benutzernamen und Passwort auch bei anderen Diensten außerhalb der Universität benutzen, empfehlen wir auch dort das Passwort zu ändern. Bei Rückfragen zu diesem Thema oder anderen Sicherheitsaspekten können Sie sich jederzeit an den KIM Support (support@uni-konstanz.de oder 07531 88-3919) wenden.

Mit freundlichen Grüßen,

Marc Scholl (CIO Universität Konstanz) - Petra Hätscher (KIM Management) - Marcel Waldvogel (KIM Management)

Dear Sir or Madam,

you have already been informed by the press that a major fault in a software for secured internet connections has been discovered. [1] This so-called "OpenSSL Heartbleed" bug puts an attacker in a place where he can listen to an encrypted connection between your computer and the used webservice. Beside big internet services like Facebook, Google or Yahoo the University of Constance is also affected by this bug. According to that we are also a victim of using this previously safe software. The necessary updates to resolve the bug have been installed immediately.

As a result of the bug we cannot guarantee that no data has been stolen from the university. Technically, it is impossible to detect possible data leaks afterwards, thus, we have to act on the assumption that every transmitted data was potentially vulnerable. This includes in particular user accounts and passwords.

For this reason the KIM department and the university management have agreed to request all users to change their password.

Please change your password immediately using the university webpage.

UPDATE:

Provided that you do not change your password until Tuesday, 2014/04/29 - 11.59pm, we  will reset the password for your email account. The  password reset is staggered between 2014/04/29 and 2014/05/05. In this case you have to  come to the KIM Support or to the library information in V517, N6 or  J401 (9am to 5pm) to obtain a new password.

In case you are using the combination of username and password on other services outside the University we request you to change that password, too. If you have any questions regarding this incident or other security topics please do not hesitate to contact the KIM Support (support@uni-konstanz.de or 07531 88-3919).

Best regards,

Marc Scholl (CIO University of Constance) - Petra Hätscher (KIM Management) - Marcel Waldvogel (KIM Management)

Copy and paste this link into your RSS news reader

RSS 2.0Posts

Categories

Latest Comments

Firefox Addon zum Deaktivieren von SSL 3.0
18.10.2014 09:38
fax mailing
13.10.2014 16:26
wieder Blacklist?
06.10.2014 11:57
Situation bei anderen Betriebssystemen
01.09.2014 20:27
« November 2014»
S M T W T F S
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30